OpenAI bestätigt, dass Benutzerdaten der API nach einem Sicherheitsvorfall bei Mixpanel offengelegt wurden.
Eingeschränkte Profildaten einiger API-Nutzer wurden über den Analyseanbieter Mixpanel geleakt; es wurden keine Chat-Inhalte, Zahlungsdetails oder Passwörter kompromittiert.
OpenAI hat bestätigt, dass ein Sicherheitsvorfall bei Mixpanel, einem seiner externen Analyseanbieter, dazu geführt hat, dass begrenzte Profilinformationen einiger Benutzer seiner API-Dienste offengelegt wurden.
Der Vorfall ereignete sich am neunten November, als Mixpanel entdeckte, dass ein Angreifer auf seine Systeme zugegriffen und Daten, die mit OpenAIs API-Analyse-Dashboard verbunden sind, exportiert hatte.
Laut OpenAI umfasste die kompromittierte Information Benutzernamen, E-Mail-Adressen, ungefähre geografische Standorte, Details zu Browser und Betriebssystem, Empfehlungsinformationen und interne Kontenkennungen.
Es wurden keine Chat-Inhalte, Zahlungsdaten, API-Schlüssel, Passwörter oder andere sensible Authentifizierungsdaten offengelegt, und reguläre ChatGPT-Nutzer waren nicht betroffen.
Nach Bestätigung des Vorfalls hat OpenAI umgehend Mixpanel aus seiner Produktionsumgebung entfernt, alle Datenfreigaben mit dem Dienst gestoppt und begonnen, die betroffenen API-Kunden direkt zu benachrichtigen.
Das Unternehmen hat sich auch verpflichtet, seine Sicherheitsanforderungen für Anbieter zu verschärfen und alle Drittanbieter-Integrationen zu überprüfen.
Während die offengelegten Informationen als von geringer Sensibilität betrachtet werden, warnen Cybersicherheits-Spezialisten, dass sie dennoch gezielte Phishing- oder Social-Engineering-Kampagnen ermöglichen könnten.
OpenAI hat API-Nutzern geraten, auf verdächtige Mitteilungen aufmerksam zu sein, jedoch erklärt, dass Passwortzurücksetzungen nicht notwendig seien, da keine Zugangsberechtigungen gestohlen wurden.
Der Vorfall verdeutlicht die umfassenderen Risiken, die entstehen, wenn große Technologieunternehmen auf externe Analyseanbieter angewiesen sind.
Während OpenAI seine Untersuchung fortsetzt, sagt das Unternehmen, dass es die Aufsicht über seine Partner in der Lieferkette verstärken und seine internen Datenfreigabepolitiken verfeinern wird, um ähnliche Sicherheitsanfälligkeiten in der Zukunft zu verhindern.
Der Vorfall ereignete sich am neunten November, als Mixpanel entdeckte, dass ein Angreifer auf seine Systeme zugegriffen und Daten, die mit OpenAIs API-Analyse-Dashboard verbunden sind, exportiert hatte.
Laut OpenAI umfasste die kompromittierte Information Benutzernamen, E-Mail-Adressen, ungefähre geografische Standorte, Details zu Browser und Betriebssystem, Empfehlungsinformationen und interne Kontenkennungen.
Es wurden keine Chat-Inhalte, Zahlungsdaten, API-Schlüssel, Passwörter oder andere sensible Authentifizierungsdaten offengelegt, und reguläre ChatGPT-Nutzer waren nicht betroffen.
Nach Bestätigung des Vorfalls hat OpenAI umgehend Mixpanel aus seiner Produktionsumgebung entfernt, alle Datenfreigaben mit dem Dienst gestoppt und begonnen, die betroffenen API-Kunden direkt zu benachrichtigen.
Das Unternehmen hat sich auch verpflichtet, seine Sicherheitsanforderungen für Anbieter zu verschärfen und alle Drittanbieter-Integrationen zu überprüfen.
Während die offengelegten Informationen als von geringer Sensibilität betrachtet werden, warnen Cybersicherheits-Spezialisten, dass sie dennoch gezielte Phishing- oder Social-Engineering-Kampagnen ermöglichen könnten.
OpenAI hat API-Nutzern geraten, auf verdächtige Mitteilungen aufmerksam zu sein, jedoch erklärt, dass Passwortzurücksetzungen nicht notwendig seien, da keine Zugangsberechtigungen gestohlen wurden.
Der Vorfall verdeutlicht die umfassenderen Risiken, die entstehen, wenn große Technologieunternehmen auf externe Analyseanbieter angewiesen sind.
Während OpenAI seine Untersuchung fortsetzt, sagt das Unternehmen, dass es die Aufsicht über seine Partner in der Lieferkette verstärken und seine internen Datenfreigabepolitiken verfeinern wird, um ähnliche Sicherheitsanfälligkeiten in der Zukunft zu verhindern.
