Утечка данных пользователей OpenAI через стороннего поставщика аналитики

Компания OpenAI сообщила 27 ноября о нарушении безопасности у внешнего поставщика аналитических услуг Mixpanel, в результате которого произошла утечка данных пользователей.

Инцидент не затронул внутренние системы OpenAI. Компания прекратила сотрудничество с Mixpanel и немедленно запустила аудит безопасности всех своих партнеров.

Атака была обнаружена 9 ноября, когда хакер получил несанкционированный доступ к системам Mixpanel через смишинг - разновидность фишинга через SMS. Злоумышленник экспортировал набор данных, содержащий идентифицирующую информацию клиентов и аналитические данные. Mixpanel уведомила OpenAI в тот же день, но о полном масштабе ущерба компания узнала только 25 ноября.

Утекшая информация включает такие данные, как имена, адреса электронной почты, приблизительное местоположение на основе метаданных браузера (например, город), операционная система и браузер, реферальные сайты, а также идентификаторы организаций или пользователей.

OpenAI заверяет, что никакие конфиденциальные данные не были скомпрометированы, и не произошло утечки журналов чатов, ключей API, паролей, платежных данных или документов, удостоверяющих личность. Компания предупреждает, что похищенная информация может быть использована в фишинговых атаках или атаках с применением социальной инженерии, и призывает пользователей сохранять бдительность в отношении подозрительных сообщений.

OpenAI подчеркивает, что никогда не запрашивает пароли, ключи API или коды верификации по электронной почте, SMS или в чате.