Компания OpenAI уведомила о раскрытии ограниченных идентифицирующих данных

Компания OpenAI уведомила часть клиентов, использующих API ChatGPT, о том, что в результате компрометации стороннего аналитического сервиса Mixpanel были раскрыты ограниченные идентифицирующие сведения. Киберинцидент затронул только клиентов API и не коснулся пользователей ChatGPT и других продуктов.

Mixpanel предоставляет инструменты для сбора аналитики, которые OpenAI применяет для оценки взаимодействия с внешним интерфейсом своих API‑сервисов. Как следует из пресс-релиза, опубликованного OpenAI, киберинцидент не был напрямую связан с инфраструктурой самой компании. В частности, не были скомпрометированы пароли, токены, ключи API, данные чатов, платёжные реквизиты или номера удостоверений личности.

В Mixpanel сообщили, что компрометация стала следствием смишинговой атаки — разновидности фишинга через текстовые сообщения. Инцидент был обнаружен 8 ноября, а OpenAI получила уточнённую информацию о затронутых данных 25 ноября, после того как Mixpanel завершила часть внутреннего расследования.

Среди раскрытых данных оказались имя, указанное в аккаунте API, адрес электронной почты, связанный с этой учётной записью, примерное географическое положение пользователя, тип операционной системы и браузера, ссылающиеся ресурсы, а также идентификаторы пользователей или организаций, связанных с аккаунтом.

В OpenAI уточнили, что сброс паролей или обновление ключей API не требуется, так как конфиденциальные данные не утекли. При этом пользователям рекомендуется быть особенно осторожными: полученные сведения теоретически могут использоваться для фишинга или атак социальной инженерии.

Компания просит проявлять повышенное внимание к подозрительным письмам или сообщениям, особенно если они содержат ссылки или вложения. Все обращения должны исходить только из доменов OpenAI, а для дополнительной защиты следует активировать двухфакторную аутентификацию и никогда не передавать чувствительную информацию в текстовой форме, по почте или через мессенджеры.