OpenAI确认数据泄露——受影响的对象如下

简而言之

• Mixpanel表示，攻击者访问了其系统的部分内容并导出了客户可识别的元数据。
• OpenAI表示没有涉及提示、API密钥、支付信息或认证令牌。
• 两家公司审查了事件，通知了受影响的用户，并概述了新的安全措施。

Decrypt的艺术、时尚与娱乐中心。

深入了解 SCENE

本月早些时候，分析提供商Mixpanel的一个泄露事件暴露了OpenAI API部分用户的账户名称、电子邮件地址和浏览器位置，人工智能巨头在周三确认此事，引发了人们对网络犯罪分子可能利用被盗元数据进行针对性网络钓鱼攻击的担忧。

根据Mixpanel的说法，11月8日，一名未知攻击者获得了其系统部分的访问权限，并导出了包含客户可识别的元数据和分析信息的数据集。被盗的数据包括用户名、电子邮件地址、近似的基于浏览器的位置、操作系统和浏览器详细信息。

OpenAI表示，此次泄露不包括用户的提示、API密钥、支付信息或认证令牌。

公司表示，只有通过 API 访问 OpenAI 技术的用户数据被泄露——也就是通过由 GPT 驱动的外部应用程序。如果您直接从 OpenAI 的网站访问 ChatGPT 聊天机器人，那么您将不会受到影响。

“作为我们安全调查的一部分，我们已从生产服务中移除 Mixpanel，审查了受影响的数据集，并与 Mixpanel 及其他合作伙伴密切合作，以全面了解事件及其范围，” OpenAI 在一份声明中表示。

成立于2009年的Mixpanel是一款总部位于旧金山的产品分析平台，用于跟踪用户在网页和移动应用中的行为。该公司表示它检测到了"smishing"活动，并在初步调查和响应后，次日通知了OpenAI。

“我们致力于保持透明，并通知所有受影响的客户和用户，” OpenAI表示。“我们还要求我们的合作伙伴和供应商对其服务的安全性和隐私性承担最高标准的责任。”

短信钓鱼是一种通过短信进行的钓鱼攻击。根据基础设施管理公司Spacelift在10月发布的报告，短信钓鱼在2024年占所有移动威胁的39%。

Mixpanel表示已确保受影响账户的安全，撤回了活跃会话，轮换了被泄露的凭证，并阻止了恶意IP地址。该公司还重置了员工密码，聘请了外部网络安全公司，并审核了身份验证、会话和导出日志。

在泄露事件发生后，Mixpanel表示已开始通知受影响的客户。

“如果您没有直接收到我们的消息，那么您没有受到影响，” Mixpanel 首席执行官 Jen Taylor 在一份声明中表示。“我们继续将安全作为我们公司、产品和服务的核心原则。我们致力于支持我们的客户，并就此事件进行透明沟通。”

尽管Mixpanel向OpenAI报告了此事件，但ChatGPT的开发者表示将与该分析公司断绝关系。他们写道：“在审查此事件后，OpenAI已终止使用Mixpanel。”

一些OpenAI客户在社交媒体上表达了对第三方服务可以访问他们信息的揭露感到沮丧。

“我对此并不太满意。[…] 为什么他们要把我的名字和电子邮件地址传递给Mixpanel？” 一位用户在X上写道。“我只是一个业余爱好者，试图做一些小实验。”

“OpenAI 将姓名和电子邮件发送给第三方分析平台 (Mixpanel) 感觉极其不负责任，” 另一个人写道。

OpenAI 和 Mixpanel 并未立即回应 Decrypt. 的评论请求。