OpenAI, das Unternehmen hinter ChatGPT, hat einen Datensicherheitsvorfall bei einem seiner Analyseanbieter, Mixpanel, bestätigt. Während OpenAI darauf besteht, dass seine eigenen Systeme nicht kompromittiert wurden, wurden Benutzerdaten aufgrund eines Verstoßes bei Mixpanel offengelegt. Der Vorfall unterstreicht die Risiken, die selbst für etablierte Unternehmen damit verbunden sind, sich bei der Datenverarbeitung auf Dienste Dritter zu verlassen.
Was ist passiert?
Mixpanel entdeckte am 9. November einen unbefugten Einbruch, der zum Export eines Datensatzes mit begrenzten Kundeninformationen führte. Zu diesen Daten gehörten Namen, E-Mail-Adressen und Benutzerkennungen. OpenAI hat inzwischen seine Beziehung zu Mixpanel beendet.
Das Unternehmen hat betont, dass auf keine Chat-Protokolle, API-Schlüssel, Zahlungsdetails oder andere sensible Informationen zugegriffen wurde. Dennoch ist der Vorfall eine deutliche Erinnerung an die riesigen Mengen an personenbezogenen Daten, die OpenAI sammelt, wenn Benutzer mit seinen KI-Tools interagieren.
Warum das wichtig ist
Datenschutzverletzungen kommen immer häufiger vor und der Vorfall von OpenAI verdeutlicht die Fragilität selbst gut geschützter Systeme. Die Abhängigkeit von Drittanbietern stellt einen erheblichen Gefahrenpunkt dar: Selbst wenn die eigene Sicherheit von OpenAI wasserdicht ist, kann die Schwachstelle eines Partners Benutzerdaten gefährden.
„Unternehmen sollten immer darauf abzielen, an Dritte gesendete Kundendaten übermäßig zu schützen und zu anonymisieren, um zu verhindern, dass diese Art von Informationen gestohlen oder verletzt werden“, sagte Moshe Siman Tov Bustan, Leiter eines Sicherheitsforschungsteams bei OX Security.
Dieser Verstoß wirft auch Fragen zur Datenminimierung auf. Sicherheitsforscher weisen darauf hin, dass OpenAI Daten wie E-Mail-Adressen und Standorte erfasst hat, die für die Produktentwicklung möglicherweise nicht unbedingt erforderlich waren, und möglicherweise gegen Datenschutzbestimmungen wie die DSGVO verstoßen.
Was Benutzer tun sollten
OpenAI hat Benutzern geraten, wachsam gegenüber Phishing-Angriffen und Social-Engineering-Betrügereien zu bleiben, die die gestohlenen Daten ausnutzen könnten. Als zusätzliche Sicherheitsmaßnahme wird die Aktivierung der Multi-Faktor-Authentifizierung empfohlen.
OpenAI plant, künftig strengere Sicherheitsstandards für alle externen Partner einzuführen, doch der Vorfall lässt viele fragen, wie viele personenbezogene Daten überhaupt an Dritte weitergegeben werden. Der Vorfall verstärkt die Notwendigkeit proaktiver Datenschutzmaßnahmen und kontinuierlicher Sicherheitsüberprüfungen im gesamten Anbieter-Ökosystem.
