导语:目前,OpenAI 已启动调查以明确事件的完整影响范围。
OpenAI 正向部分 ChatGPT API 客户发送通知,告知其部分身份信息因第三方分析服务商 Mixpanel 遭遇数据泄露而面临暴露风险。
Mixpanel 提供事件分析服务,OpenAI 借助该服务追踪 API 产品前端界面上的用户交互行为。据了解,这并非 OpenAI 自身系统遭入侵。OpenAI 表示,此次网络安全事件仅影响“与部分 API 用户相关的有限分析数据”,ChatGPT 及其他产品的用户未受波及。
据 Mixpanel 通报,此次攻击“仅影响少量客户”,攻击源于该公司 11 月 8 日检测到的一起短信钓鱼活动。OpenAI 在获悉 Mixpanel 正在开展调查后,于 11 月 25 日收到了受影响数据集的详细信息。
OpenAI 指出,聊天记录、API 请求内容、API 使用数据、密码、凭证信息、API 密钥、支付详情及政府签发身份证件等敏感数据均未被泄露或暴露。此次可能暴露的信息包括:
·API 账户注册时提供的姓名
·与 API 账户关联的电子邮箱地址
·基于 API 用户浏览器获取的大致位置信息(城市、州/省、国家/地区)
·用于访问 API 账户的操作系统及浏览器类型
·引荐网站(即引导用户访问 API 的来源网站)
·与 API 账户关联的组织 ID 或用户 ID
由于未涉及敏感凭证泄露,OpenAI 表示用户无需重置密码或重新生成 API 密钥。
另有部分用户反馈,加密货币投资组合追踪与税务平台 CoinTracker 也受到此次事件影响,泄露数据还包括设备元数据及有限的交易次数信息。
目前,OpenAI 已启动调查以明确事件的完整影响范围。作为预防措施,该公司已将 Mixpanel 从生产服务中移除,并正直接通知相关组织、管理员及个人用户。尽管 OpenAI 着重说明仅 API 用户受影响,但仍向所有订阅用户发送了通知。
OpenAI 警示,泄露的数据可能被用于钓鱼攻击或社会工程学攻击,建议用户警惕与此次事件相关、看似可信的恶意信息。对于包含链接或附件的信息,用户需核实其是否来自 OpenAI 官方域名。同时,该公司敦促用户启用双重认证,切勿通过电子邮件、短信或聊天工具发送密码、API 密钥、验证码等敏感信息。
针对此次攻击,Mixpanel 已采取多项应对措施:保障受影响账户安全、撤销活跃会话及登录权限、更换泄露的凭证信息、封禁攻击者的 IP 地址,并要求所有员工重置密码。此外,该公司还部署了新的安全管控措施,以防范未来发生类似事件。
文章来源自:https://www.bleepingcomputer.com/news/security/openai-discloses-api-customer-data-breach-via-mixpanel-vendor-hack/如若转载,请注明原文地址
