Утечка данных OpenAI после взлома подрядчика

Компания OpenAI потерпела утечку данных аналитического профиля. Утечка данных произошла после взлома платформы Mixpanel.

Гигант исследований и разработок в области искусственного интеллекта OpenAI приостановил использование аналитической платформы Mixpanel после сообщения об утечке данных. Инцидент информационной безопасности, который произошел на стороне поставщика, затронул разработчиков и компании, использующие API OpenAI.

Компания OpenAI, создатель ChatGPT, применяла Mixpanel для сбора аналитики, чтобы лучше понять, как клиенты взаимодействуют с ее API-инструментами.

В уведомлении, которое OpenAI опубликовала в среду, 26 ноября, говорится, что инцидент ИБ произошел на стороне Mixpanel и привел к утечке некоторой аналитической информации. Пользователи ChatGPT и других продуктов компании не были затронуты инцидентом.

«Взлома систем OpenAI не произошло. Никакие чаты, запросы API, данные об использовании API, пароли, учетные данные, ключи API, платежная информация или государственные удостоверения личности не были скомпрометированы», — заявила OpenAI.

Известно, что Mixpanel обнаружила взлом 9 ноября, после чего отправила в OpenAI сообщение о начале расследования кибератаки. 

Злоумышленник «получил несанкционированный доступ к части их систем и скачал набор данных, содержащий ограниченную идентификационную информацию о клиентах и аналитические данные», — заявила OpenAI.

На период расследования инцидента компания OpenAI удалила Mixpanel из своих рабочих систем и провела проверку набора данных, чтобы определить масштаб утечки информации. После этого компания начала уведомлять все пострадавшие организации, администраторов и пользователей, говорится в сообщении.

OpenAI пока не сообщила о количестве пользователей и организаций, которым были отправлены оповещения об утечке данных.

Полученные хакерами данные включают в себя профили, связанные с учетными записями платформы OpenAI, такие как имена, электронные адреса, приблизительное местоположение, используемые операционные системы, информацию о браузере, ссылки на веб-сайты, а также идентификаторы организаций или пользователей, связанные с аккаунтами.

OpenAI заявила, что основной риск для пострадавших пользователей представляют атаки с использованием методов социальной инженерии и фишинга. Компания не просит пользователей менять пароли, но настоятельно рекомендует с особой осторожностью подходить к электронным письмам, содержащим подозрительные ссылки, вложения или запросы на аутентификационные данные.

Раскрытие данных OpenAI стало результатом масштабирования инфраструктуры поставщиками систем на основе искусственного интеллекта. Конвейеры разработки ИИ часто опираются на внешнюю аналитику, облачные API и компоненты моделей с открытым исходным кодом, создавая тем самым новые точки зависимости, которыми могут воспользоваться злоумышленники. В отчете BitSight за 2025 год есть предупреждение: сервисы ИИ все чаще передают конфиденциальные данные телеметрии и модели в экосистемы поставщиков, что усиливает влияние нарушений, случившихся на стороне партнеров по мониторингу или аналитике.

В отчете Gartner Hype Cycle for Supply Chain Strategy также говорится, что по мере того, как организации все глубже внедряют искусственный интеллект в свои операции, безопасность поддерживающих поставщиков становится критически важной для устойчивости самого стека ИИ.

Инцидент с Mixpanel наглядно демонстрирует то, как даже надежные аналитические инструменты могут непреднамеренно допускать утечку конфиденциальных данных, и поэтому их необходимо постоянно контролировать, заявил Майур Упадхайя (Mayur Upadhyaya), генеральный директор APIContext. 

«В мире, где все решают машины, невозможно исправить то, чего не видишь. Наблюдаемость инфраструктуры должна распространяться на все API, веб-перехватчики и интеграцию со сторонними системами», — сказал он в интервью Information Security Media Group.

Источник: Bank Info Security