A OpenAI informou alguns clientes da API do ChatGPT sobre a exposição de informações limitadas após um ataque à empresa terceirizada de analytics Mixpanel.
A Mixpanel oferece serviços de event analytics usados pela OpenAI para monitorar as interações dos usuários na interface frontend da API.
Segundo a OpenAI, o incidente comprometeu “dados analíticos limitados relacionados a alguns usuários da API” e não afetou usuários do ChatGPT nem de outros produtos da empresa.
“Este não foi um ataque aos sistemas da OpenAI. Nenhum chat, solicitação à API, dado de uso da API, senha, credencial, chave de API, informação de pagamento ou documento governamental foi exposto ou comprometido”, esclarece a empresa em comunicado.
A Mixpanel relatou que o ataque afetou “um número limitado de clientes” e resultou de uma campanha de smishing (phishing via SMS), detectada em 8 de novembro.
A OpenAI recebeu detalhes sobre o conjunto de dados afetado em 25 de novembro, após ser informada da investigação em andamento da Mixpanel.
As informações expostas podem incluir:
- Nome registrado na conta da API
- E-mail associado à conta da API
- Localização aproximada, com base no navegador do usuário da API (cidade, estado, país)
- Sistema operacional e navegador usados para acessar a conta da API
- Sites de referência (referring websites)
- IDs de organizações ou usuários vinculados à conta da API
Como nenhuma credencial sensível foi exposta, não há necessidade de redefinir senhas nem de gerar novas chaves de API.
Alguns usuários informaram que o CoinTracker, plataforma de monitoramento de portfólio e impostos para criptomoedas, também foi afetado, com vazamento de metadados de dispositivos e uma quantidade limitada de transações.
A OpenAI iniciou uma investigação para mapear o alcance completo do incidente.
Como medida preventiva, a empresa removeu a Mixpanel de seus serviços em produção e está notificando diretamente organizações, administradores e usuários individuais.
Embora destaque que apenas usuários da API foram impactados, a OpenAI comunicou todos os seus assinantes sobre o ocorrido.
A empresa alerta que os dados vazados podem ser usados em ataques de phishing ou engenharia social e recomenda atenção a mensagens maliciosas que pareçam legítimas e estejam relacionadas ao incidente.
Mensagens com links ou arquivos anexos devem ser verificadas para confirmar se foram enviadas por domínios oficiais da OpenAI.
Também é recomendado ativar a autenticação de dois fatores (2FA) e nunca enviar informações sensíveis, como senhas, chaves de API ou códigos de verificação, por e-mail, SMS ou chat.
Jen Taylor, CEO da Mixpanel, afirmou que todos os clientes afetados foram contatados diretamente.
“Se você não recebeu nossa comunicação, não foi impactado”, disse.
Em resposta ao ataque, a Mixpanel protegeu as contas afetadas, revogou sessões ativas, alterou credenciais comprometidas, bloqueou os endereços IP dos invasores e redefiniu as senhas de todos os funcionários.
Além disso, a empresa implementou novos controles para evitar incidentes semelhantes no futuro.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...