Mixpanel遭網絡攻擊 OpenAI用戶數據或面臨泄露風險

OpenAI 正向部分 ChatGPT API 客戶發送通知，告知其部分身份信息因第三方分析服務商 Mixpanel 遭遇數據泄露而面臨暴露風險。

Mixpanel 提供事件分析服務，OpenAI 借助該服務追蹤 API 產品前端界面上的用戶交互行為。據了解，這并非 OpenAI 自身系統遭入侵。

OpenAI 表示，此次網絡安全事件僅影響“與部分 API 用戶相關的有限分析數據”，ChatGPT 及其他產品的用戶未受波及。

據 Mixpanel 通報，此次攻擊“僅影響少量客戶”，攻擊源于該公司 11 月 8 日檢測到的一起短信釣魚活動。OpenAI 在獲悉 Mixpanel 正在開展調查后，于 11 月 25 日收到了受影響數據集的詳細信息。

OpenAI 指出，聊天記錄、API 請求內容、API 使用數據、密碼、憑證信息、API 密鑰、支付詳情及政府簽發身份證件等敏感數據均未被泄露或暴露。此次可能暴露的信息包括：

·API 賬戶注冊時提供的姓名

·與 API 賬戶關聯的電子郵箱地址

·基于 API 用戶瀏覽器獲取的大致位置信息（城市、州/省、國家/地區）

·用于訪問 API 賬戶的操作系統及瀏覽器類型

·引薦網站（即引導用戶訪問 API 的來源網站）

·與 API 賬戶關聯的組織 ID 或用戶 ID

由于未涉及敏感憑證泄露，OpenAI 表示用戶無需重置密碼或重新生成 API 密鑰。

另有部分用戶反饋，加密貨幣投資組合追蹤與稅務平臺 CoinTracker 也受到此次事件影響，泄露數據還包括設備元數據及有限的交易次數信息。

目前，OpenAI 已啟動調查以明確事件的完整影響范圍。作為預防措施，該公司已將 Mixpanel 從生產服務中移除，并正直接通知相關組織、管理員及個人用戶。盡管 OpenAI 著重說明僅 API 用戶受影響，但仍向所有訂閱用戶發送了通知。

OpenAI 警示，泄露的數據可能被用于釣魚攻擊或社會工程學攻擊，建議用戶警惕與此次事件相關、看似可信的惡意信息。對于包含鏈接或附件的信息，用戶需核實其是否來自 OpenAI 官方域名。同時，該公司敦促用戶啟用雙重認證，切勿通過電子郵件、短信或聊天工具發送密碼、API 密鑰、驗證碼等敏感信息。

針對此次攻擊，Mixpanel 已采取多項應對措施：保障受影響賬戶安全、撤銷活躍會話及登錄權限、更換泄露的憑證信息、封禁攻擊者的 IP 地址，并要求所有員工重置密碼。此外，該公司還部署了新的安全管控措施，以防范未來發生類似事件。

參考及來源：https://www.bleepingcomputer.com/news/security/openai-discloses-api-customer-data-breach-via-mixpanel-vendor-hack/