OpenAI ziet API-datalek via Mixpanel-hack

In dit artikel:

OpenAI stopte met het gebruik van analytics-leverancier Mixpanel nadat Mixpanel op 9 november een inbreuk ontdekte waarbij een aanvaller datasets uit hun systemen exporteerde. De getroffen data kwamen uit Mixpanels verwerking van webanalyses voor het API-platform platform.openai.com; de systemen van OpenAI zelf werden niet gehackt.

Mixpanel deelde op 25 november welke gegevens waren geëxporteerd. Het betrof profiel- en analysedata gekoppeld aan API-accounts, zoals namen die aan accounts zijn gegeven, e-mailadressen, geschatte locatie op basis van de browser (stad/provincie/land), gebruikt besturingssysteem en browser, verwijzende websites, en organisatie- of gebruikers-ID’s. Volgens OpenAI zijn gevoelige zaken zoals ChatGPT-gesprekken, API-calls, API-sleutels, wachtwoorden, betaalgegevens en overheidsidentificaties niet gelekt.

OpenAI heeft Mixpanel uit de productiediensten verwijderd, de aangetaste datasets in onderzoek, en getroffen organisaties, beheerders en gebruikers geïnformeerd. Het bedrijf werkt samen met Mixpanel en andere partners om de oorzaak te achterhalen, verhoogt de beveiligingseisen voor leveranciers en blijft zoeken naar misbruik buiten Mixpanels omgeving.

Omdat de gelekte gegevens kunnen worden misbruikt voor phishing of social engineering, waarschuwt OpenAI gebruikers alert te zijn voor plausibel ogende valse meldingen en alleen communicatie van officiële OpenAI-domeinen te vertrouwen.