OpenAI, la société derrière ChatGPT, a reconnu un incident de sécurité des données impliquant l’un de ses fournisseurs d’analyses, Mixpanel. Bien qu’OpenAI insiste sur le fait que ses propres systèmes n’ont pas été compromis, les données des utilisateurs ont été exposées en raison d’une violation chez Mixpanel. L’incident souligne les risques inhérents au recours à des services tiers pour le traitement des données, même pour les entreprises établies.
Ce qui s’est passé?
Mixpanel a détecté une intrusion non autorisée le 9 novembre, entraînant l’exportation d’un ensemble de données contenant des informations client limitées. Ces données comprenaient les noms, les adresses e-mail et les identifiants des utilisateurs. OpenAI a depuis mis fin à sa relation avec Mixpanel.
La société a souligné qu’aucun journal de discussion, clé API, détail de paiement ou autre information sensible n’avait été consulté. Malgré cela, l’incident nous rappelle brutalement les grandes quantités de données personnelles collectées par OpenAI lorsque les utilisateurs interagissent avec ses outils d’IA.
Pourquoi c’est important
Les violations de données sont de plus en plus courantes et l’incident d’OpenAI met en évidence la fragilité des systèmes, même bien protégés. Le recours à des fournisseurs tiers introduit un point d’exposition important : même si la propre sécurité d’OpenAI est hermétique, la vulnérabilité d’un partenaire peut compromettre les données des utilisateurs.
“Les entreprises devraient toujours chercher à surprotéger et à anonymiser les données des clients envoyées à des tiers afin d’éviter que ce type d’informations ne soit volé ou violé”, a déclaré Moshe Siman Tov Bustan, responsable de l’équipe de recherche en sécurité chez OX Security.
Cette violation soulève également des questions sur la minimisation des données. Les chercheurs en sécurité notent qu’OpenAI a suivi des données telles que les adresses e-mail et l’emplacement qui n’étaient peut-être pas essentielles au développement du produit, violant potentiellement les réglementations sur la confidentialité des données telles que le RGPD.
Ce que les utilisateurs doivent faire
OpenAI a conseillé aux utilisateurs de rester vigilants face aux attaques de phishing et aux escroqueries d’ingénierie sociale qui pourraient exploiter les données volées. L’activation de l’authentification multifacteur est recommandée comme mesure de sécurité supplémentaire.
OpenAI prévoit de mettre en œuvre des normes de sécurité plus strictes pour tous les partenaires externes, mais l’incident laisse beaucoup de gens se demander quelle quantité de données personnelles est partagée avec des tiers en premier lieu. L’incident renforce la nécessité de mesures proactives de protection des données et d’audits de sécurité continus dans l’ensemble de l’écosystème des fournisseurs.
