OpenAI heeft zijn gebruik van analytics-provider Mixpanel beëindigd na een beveiligingsincident waarbij data van API-gebruikers werden geëxporteerd. Het incident vond plaats binnen de systemen van Mixpanel en trof geen ChatGPT-gebruikers.
Op 9 november ontdekte Mixpanel dat een aanvaller ongeautoriseerde toegang had verkregen tot delen van hun systemen. De aanvaller exporteerde een dataset met beperkte klantidentificatiegegevens en analysedata. Mixpanel informeerde OpenAI over het onderzoek en deelde op 25 november de getroffen dataset.
Het datalek vond plaats in de systemen van Mixpanel, die OpenAI gebruikte voor webanalyses op het API-platform platform.openai.com. De systemen van OpenAI zelf werden niet aangetast. Chatgesprekken, API-calls, API-gebruiksgegevens, wachtwoorden, credentials, API-sleutels, betaalgegevens en overheidsidentificatiebewijzen werden niet gecompromitteerd of blootgesteld.
Gelekte gebruikersdata
De geëxporteerde data van Mixpanel bevatte gebruikersprofielinformatie gekoppeld aan het gebruik van platform.openai.com. Het gaat om namen die aan het API-account werden verstrekt, e-mailadressen gekoppeld aan het API-account, geschatte locatie op basis van de browser van API-gebruikers (stad, provincie, land), besturingssysteem en browser gebruikt voor toegang tot het API-account, verwijzende websites, en organisatie- of gebruikers-ID’s gekoppeld aan het API-account.
OpenAI heeft Mixpanel uit de productieservices verwijderd en beoordeelt de getroffen datasets. Het bedrijf werkt nauw samen met Mixpanel en andere partners om het incident te begrijpen. OpenAI bericht getroffen organisaties, beheerders en gebruikers direct. Na beoordeling van het incident heeft OpenAI het gebruik van Mixpanel beëindigd.
Risico op phishing
De gelekte informatie kan worden gebruikt voor phishing- of social engineering-aanvallen. OpenAI waarschuwt gebruikers waakzaam te blijven voor geloofwaardig ogende phishingpogingen of spam. Gebruikers moeten onverwachte e-mails of berichten met links of bijlagen met voorzichtigheid behandelen en controleren of berichten die beweren van OpenAI te komen daadwerkelijk van een officieel OpenAI-domein afkomstig zijn.
OpenAI voert aanvullende en uitgebreide beveiligingsbeoordelingen uit binnen het leveranciersecosysteem en verhoogt de beveiligingseisen voor alle partners en leveranciers. Het bedrijf blijft monitoren op tekenen van misbruik buiten de omgeving van Mixpanel.