OpenAI, la società dietro ChatGPT, ha riconosciuto un incidente di sicurezza dei dati che ha coinvolto uno dei suoi fornitori di analisi, Mixpanel. Sebbene OpenAI insista che i propri sistemi non siano stati compromessi, i dati degli utenti sono stati esposti a causa di una violazione su Mixpanel. L’incidente sottolinea i rischi intrinseci dell’affidamento a servizi di terzi per l’elaborazione dei dati, anche per le aziende consolidate.
Quello che è successo?
Mixpanel ha rilevato un’intrusione non autorizzata il 9 novembre, con conseguente esportazione di un set di dati contenente informazioni limitate sui clienti. Questi dati includevano nomi, indirizzi email e identificatori utente. Da allora OpenAI ha interrotto il suo rapporto con Mixpanel.
La società ha sottolineato che non è stato effettuato l’accesso a registri di chat, chiavi API, dettagli di pagamento o altre informazioni sensibili. Nonostante ciò, l’incidente serve a ricordare fortemente la grande quantità di dati personali che OpenAI raccoglie quando gli utenti interagiscono con i suoi strumenti di intelligenza artificiale.
Perché è importante
Le violazioni dei dati stanno diventando sempre più comuni e l’incidente di OpenAI evidenzia la fragilità anche dei sistemi ben protetti. La dipendenza da fornitori di terze parti introduce un punto di esposizione significativo: anche se la sicurezza di OpenAI è ermetica, la vulnerabilità di un partner può compromettere i dati dell’utente.
“Le aziende dovrebbero sempre mirare a proteggere eccessivamente e rendere anonimi i dati dei clienti inviati a terzi per evitare che questo tipo di informazioni vengano rubate o violate”, ha affermato Moshe Siman Tov Bustan, un team di ricerca sulla sicurezza a capo di OX Security.
Questa violazione solleva anche interrogativi sulla minimizzazione dei dati. I ricercatori di sicurezza notano che OpenAI ha tracciato dati come indirizzi e-mail e posizioni che potrebbero non essere stati essenziali per lo sviluppo del prodotto, violando potenzialmente le norme sulla privacy dei dati come il GDPR.
Cosa dovrebbero fare gli utenti
OpenAI ha consigliato agli utenti di rimanere vigili contro attacchi di phishing e truffe di ingegneria sociale che potrebbero sfruttare i dati rubati. Abilitare l’autenticazione a più fattori è consigliato come misura di sicurezza aggiuntiva.
OpenAI prevede di implementare standard di sicurezza più severi per tutti i partner esterni in futuro, ma l’incidente lascia molti a chiedersi innanzitutto quanti dati personali vengono condivisi con terze parti. L’incidente rafforza la necessità di misure proattive di protezione dei dati e di controlli di sicurezza continui nell’intero ecosistema dei fornitori.
