A OpenAI começou a contactar alguns dos clientes da sua API para informar sobre uma exposição de dados. O incidente não teve origem nos sistemas da empresa de inteligência artificial, mas sim numa violação de segurança na Mixpanel, um fornecedor terceiro de análise de dados utilizado para monitorizar interações na interface.
De acordo com a OpenAI, o incidente afetou "dados analíticos limitados relacionados com alguns utilizadores da API" e não teve qualquer impacto nos utilizadores do ChatGPT ou de outros produtos de consumo da marca. A empresa sublinha que os seus próprios sistemas permanecem seguros e que informações críticas como históricos de conversas, palavras-passe, chaves de API ou dados de pagamento não foram comprometidas.
Dados expostos e origem do ataque
A violação teve origem num ataque de "smishing" (phishing via SMS) detetado pela Mixpanel a 8 de novembro, que permitiu aos atacantes acederem a determinados conjuntos de dados. A Mixpanel confirmou que o ataque impactou um número limitado dos seus clientes e que a situação foi contida, tendo a OpenAI recebido os detalhes sobre os dados afetados a 25 de novembro.
Embora as credenciais de acesso estejam seguras, a informação exposta inclui dados que podem ser usados para identificar os utilizadores:
Nome fornecido na conta da API;
Endereço de email associado;
Localização aproximada baseada no browser (cidade, estado, país);
Sistema operativo e browser utilizados no acesso;
Websites de referência;
IDs de Organização ou de Utilizador.
Além da OpenAI, outros serviços foram apanhados nesta rede. Utilizadores da CoinTracker, uma plataforma de gestão de portfólio de criptomoedas, também relataram ter sido notificados sobre a exposição de metadados de dispositivos e contagens de transações devido ao mesmo incidente na Mixpanel.
Resposta e recomendações de segurança
Como medida de precaução imediata, a OpenAI removeu a Mixpanel dos seus serviços de produção e iniciou uma investigação para determinar a extensão total do incidente. A empresa está a notificar diretamente as organizações, administradores e utilizadores individuais afetados.
O principal risco decorrente desta exposição é o aumento de ataques de engenharia social e phishing. Com acesso a nomes e emails de clientes de serviços tecnológicos, os criminosos podem tentar criar mensagens fraudulentas com aparência credível. A OpenAI aconselha os utilizadores a estarem vigilantes contra mensagens suspeitas, a verificarem sempre se os links provêm de domínios oficiais e a ativarem a autenticação de dois fatores (2FA) em todas as contas.
A Mixpanel, por sua vez, garantiu ter protegido as contas afetadas, revogado sessões ativas, rodado credenciais comprometidas e bloqueado os endereços IP dos atacantes, implementando novos controlos para prevenir futuros incidentes.
Nenhum comentário
Seja o primeiro!