OpenAI, firma stojąca za ChatGPT, potwierdziła incydent związany z bezpieczeństwem danych z udziałem jednego z jej dostawców usług analitycznych, Mixpanel. Chociaż OpenAI upiera się, że bezpieczeństwo jego własnych systemów nie zostało naruszone, dane użytkowników zostały ujawnione w wyniku włamania do Mixpanel. Ten incydent uwydatnia nieodłączne ryzyko związane z korzystaniem z usług przetwarzania danych stron trzecich, nawet w przypadku istniejących firm.
Co się stało?
Mixpanel odkrył nieautoryzowane włamanie 9 listopada, w wyniku którego zrzucono bazę danych zawierającą ograniczone informacje o klientach. Dane te obejmowały imiona i nazwiska, adresy e-mail i identyfikatory użytkowników. Od tego czasu OpenAI zakończył współpracę z Mixpanel.
Firma podkreśliła, że dzienniki czatów, klucze API, informacje o płatnościach i inne wrażliwe informacje nie były dostępne. Mimo to incydent ten stanowi wyraźne przypomnienie o ogromnej ilości danych osobowych, które OpenAI gromadzi, gdy użytkownicy wchodzą w interakcję z narzędziami sztucznej inteligencji.
Dlaczego to jest ważne
Naruszenia danych stają się coraz częstsze, a incydent z OpenAI uwypuklił kruchość nawet dobrze zabezpieczonych systemów. Zależność od zewnętrznych dostawców stwarza znaczącą lukę w zabezpieczeniach: nawet jeśli własne zabezpieczenia OpenAI są nienaganne, luka w zabezpieczeniach partnera może zagrozić danym użytkownika.
„Firmy powinny zawsze dążyć do nadmiernej ochrony i anonimizacji danych klientów udostępnianych stronom trzecim, aby uniknąć kradzieży lub wycieku tych informacji” – powiedział Moshe Siman Tov Bustan, lider zespołu ds. bezpieczeństwa w OX Security.
Wyciek ten rodzi również pytania dotyczące minimalizacji danych. Badacze bezpieczeństwa zauważają, że OpenAI śledziło dane, takie jak adresy e-mail i lokalizacja, które mogły nie być ważne dla rozwoju produktu, potencjalnie naruszając przepisy dotyczące ochrony danych, takie jak RODO.
Co powinni zrobić użytkownicy
OpenAI zaleca użytkownikom zachowanie czujności przed atakami phishingowymi i oszustwami wykorzystującymi inżynierię społeczną, które mogą wykorzystywać skradzione dane. Włączenie uwierzytelniania wieloskładnikowego jest zalecane jako dodatkowy środek bezpieczeństwa.
OpenAI planuje w przyszłości wdrożyć bardziej rygorystyczne standardy bezpieczeństwa dla wszystkich partnerów zewnętrznych, ale incydent spowodował, że wiele osób zastanawia się, jakie dane osobowe w ogóle są udostępniane stronom trzecim. Incydent podkreśla potrzebę proaktywnych środków ochrony danych i ciągłych audytów bezpieczeństwa w całym ekosystemie dostawców.
