OpenAI, společnost stojící za ChatGPT, přiznala incident zabezpečení dat zahrnující jednoho z jejích poskytovatelů analytických služeb, Mixpanel. Zatímco OpenAI trvá na tom, že jeho vlastní systémy nebyly kompromitovány, uživatelská data byla odhalena kvůli hacku Mixpanel. Tento incident zdůrazňuje inherentní rizika spojená s používáním služeb zpracování dat třetích stran, a to i pro zavedené společnosti.
Co se stalo?
Mixpanel objevil neoprávněné vniknutí 9. listopadu, což vedlo k vyřazení databáze obsahující omezené informace o zákaznících. Tato data zahrnovala jména, e-mailové adresy a ID uživatelů. OpenAI od té doby ukončilo své partnerství s Mixpanel.
Společnost zdůraznila, že protokoly chatu, klíče API, platební údaje a další citlivé informace nebyly přístupné. Přesto tento incident slouží jako ostrá připomínka obrovského množství osobních údajů, které OpenAI shromažďuje, když uživatelé interagují s jeho nástroji AI.
Proč je to důležité
Úniky dat jsou stále častější a incident OpenAI zdůrazňuje křehkost i dobře zabezpečených systémů. Závislost na poskytovatelích třetích stran vytváří významný bod zranitelnosti: i když je vlastní zabezpečení OpenAI dokonalé, zranitelnost partnera může ohrozit uživatelská data.
„Společnosti by se měly vždy snažit nadměrně chránit a anonymizovat zákaznická data sdílená s třetími stranami, aby se zabránilo krádeži nebo úniku těchto informací,“ řekl Moshe Siman Tov Bustan, vedoucí bezpečnostního týmu ve společnosti OX Security.
Tento únik také vyvolává otázky ohledně minimalizace dat. Bezpečnostní výzkumníci poznamenávají, že OpenAI sledovala data, jako jsou e-mailové adresy a umístění, které nemusely být důležité pro vývoj produktu, a potenciálně porušovaly předpisy o ochraně dat, jako je GDPR.
Co by měli uživatelé dělat
OpenAI doporučila uživatelům, aby zůstali ostražití vůči phishingovým útokům a podvodům sociálního inženýrství, které by mohly využít odcizená data. Povolení vícefaktorového ověřování se doporučuje jako další bezpečnostní opatření.
OpenAI plánuje v budoucnu zavést přísnější bezpečnostní standardy pro všechny externí partnery, ale incident vyvolal mnoho zvědavostí, jaké osobní údaje jsou vůbec sdíleny se třetími stranami. Incident podtrhuje potřebu proaktivních opatření na ochranu dat a průběžných bezpečnostních auditů v celém dodavatelském ekosystému.
