北京
OpenAI 正向部分 ChatGPT API 客戶發送通知,告知其部分身份信息因第三方分析服務商 Mixpanel 遭遇數據泄露而面臨暴露風險。
Mixpanel 提供事件分析服務,OpenAI 借助該服務追蹤 API 產品前端界面上的用戶交互行為。據了解,這并非 OpenAI 自身系統遭入侵。
OpenAI 表示,此次網絡安全事件僅影響“與部分 API 用戶相關的有限分析數據”,ChatGPT 及其他產品的用戶未受波及。
據 Mixpanel 通報,此次攻擊“僅影響少量客戶”,攻擊源于該公司 11 月 8 日檢測到的一起短信釣魚活動。OpenAI 在獲悉 Mixpanel 正在開展調查后,于 11 月 25 日收到了受影響數據集的詳細信息。
OpenAI 指出,聊天記錄、API 請求內容、API 使用數據、密碼、憑證信息、API 密鑰、支付詳情及政府簽發身份證件等敏感數據均未被泄露或暴露。此次可能暴露的信息包括:
·API 賬戶注冊時提供的姓名
·與 API 賬戶關聯的電子郵箱地址
·基于 API 用戶瀏覽器獲取的大致位置信息(城市、州/省、國家/地區)
·用于訪問 API 賬戶的操作系統及瀏覽器類型
·引薦網站(即引導用戶訪問 API 的來源網站)
·與 API 賬戶關聯的組織 ID 或用戶 ID
由于未涉及敏感憑證泄露,OpenAI 表示用戶無需重置密碼或重新生成 API 密鑰。
另有部分用戶反饋,加密貨幣投資組合追蹤與稅務平臺 CoinTracker 也受到此次事件影響,泄露數據還包括設備元數據及有限的交易次數信息。
目前,OpenAI 已啟動調查以明確事件的完整影響范圍。作為預防措施,該公司已將 Mixpanel 從生產服務中移除,并正直接通知相關組織、管理員及個人用戶。盡管 OpenAI 著重說明僅 API 用戶受影響,但仍向所有訂閱用戶發送了通知。
OpenAI 警示,泄露的數據可能被用于釣魚攻擊或社會工程學攻擊,建議用戶警惕與此次事件相關、看似可信的惡意信息。對于包含鏈接或附件的信息,用戶需核實其是否來自 OpenAI 官方域名。同時,該公司敦促用戶啟用雙重認證,切勿通過電子郵件、短信或聊天工具發送密碼、API 密鑰、驗證碼等敏感信息。
針對此次攻擊,Mixpanel 已采取多項應對措施:保障受影響賬戶安全、撤銷活躍會話及登錄權限、更換泄露的憑證信息、封禁攻擊者的 IP 地址,并要求所有員工重置密碼。此外,該公司還部署了新的安全管控措施,以防范未來發生類似事件。
參考及來源:https://www.bleepingcomputer.com/news/security/openai-discloses-api-customer-data-breach-via-mixpanel-vendor-hack/
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
