رخنه امنیتی در OpenAI تایید شد
تاریخ انتشار
شنبه ۸ آذر ۱۴۰۴ ساعت ۰۸:۴۵
آیتیمن- بر اساس اطلاعیهای که روز پنجشنبه برای کاربران ارسال شده، این رخنه امنیتی به افشای مقداری محدود از دادههای کاربران پلتفرم API مرتبط با OpenAI منجر شده است.
در این ایمیل آمده است: «این رخنه به سیستمهای OpenAI مربوط نمیشود. هیچ مکالمهای، درخواست API، دادههای مربوط به استفاده از API، گذرواژه، اطلاعات کاربری، کلیدهای API، جزئیات پرداخت یا کارت شناسایی دولتی فاش نشده یا در معرض خطر قرار نگرفتهاند.»
شرکتOpenAI همچنین اعلام کرد که شرکت Mixpanel در تاریخ ۹ نوامبر متوجه نفوذ یک مهاجم به بخشی از سیستمهای خود شده است. مهاجم موفق شده بهطور غیرمجاز به بخشی از زیرساخت Mixpanel دسترسی پیدا کرده و مجموعهای از دادهها را که شامل اطلاعات تحلیلی و مقدار محدودی دادهی قابل شناسایی مشتریان بوده، استخراج کند.
بنا به اعلامOpenAI اطلاعاتی که ممکن است تحت تأثیر این رخنه قرار گرفته باشند، شامل نام، آدرس ایمیل و شناسههای کاربری است. این شرکت همچنین تاکید کرده که استفاده خود از Mixpanel را متوقف کرده و بار دیگر تصریح کرده که این رخنه به دلیل هیچگونه آسیبپذیری در سیستمهای OpenAI رخ نداده است.
در پاسخ به این سوال که این رخنه چه معنایی برای دادههای کاربران دارد،OpenAI اعلام کرده که تحقیق درباره این حادثه را آغاز کرده و از کاربران خواسته که در برابر حملات فیشینگ و مهندسی اجتماعی هوشیار باشند؛ حملاتی که ممکن است با استفاده از دادههای بهدستآمده انجام شوند.
این شرکت همچنین کاربران را تشویق کرده از احراز هویت چندمرحلهای (MFA) برای افزایش امنیت حسابهای خود استفاده کنند.
اگرچه OpenAI تأکید کرده که هیچیک از مکالمات کاربران با ChatGPT فاش نشده است، اما این حادثه یادآور آن است که OpenAI تا چه حد به اطلاعات شخصی کاربران دسترسی دارد؛ بهویژه در شرایطی که بسیاری از افراد در گفتگو با چتباتها، اطلاعات حساسی از خود را بیان میکنند.
OpenAI در ادامه اعلام کرده که قصد دارد الزامات امنیتی سختگیرانهتری برای تمام شرکای خارجی خود اعمال کند.
با وجود اینکه استفاده از ابزارهای تحلیلی مانند Mixpanel رویهای رایج در صنعت فناوری است، برخی کارشناسان امنیتی نسبت به نحوه استفاده از این ابزارها هشدار دادهاند. موشه سیمانتُو بستان، رئیس تیم تحقیقاتی امنیت در شرکت OX Security، با اشاره به این موضوع گفته است: OpenAI از طریق Mixpanel، دادههایی مانند آدرس ایمیل و موقعیت مکانی کاربران را جمعآوری میکرد که برای بهبود محصول ضروری نبود و ممکن است با اصل حداقلسازی دادهها در قوانین GDPR مغایرت داشته باشد.
او افزود: شرکتها، چه غولهای فناوری مانند OpenAI و چه استارتاپهای کوچک، باید همواره دادههای مشتریان را بیش از حد محافظت و ناشناسسازی کنند، بهویژه زمانی که این دادهها را در اختیار شرکتهای ثالث قرار میدهند، تا از وقوع چنین رخنههایی جلوگیری شود. حتی در صورت استفاده از شرکتهای معتبر و بررسیشده، هر قطعه اطلاعات قابل شناسایی که به بیرون فرستاده شود، یک نقطهی بالقوه برای افشا یا سرقت داده خواهد بود.
در این ایمیل آمده است: «این رخنه به سیستمهای OpenAI مربوط نمیشود. هیچ مکالمهای، درخواست API، دادههای مربوط به استفاده از API، گذرواژه، اطلاعات کاربری، کلیدهای API، جزئیات پرداخت یا کارت شناسایی دولتی فاش نشده یا در معرض خطر قرار نگرفتهاند.»
شرکتOpenAI همچنین اعلام کرد که شرکت Mixpanel در تاریخ ۹ نوامبر متوجه نفوذ یک مهاجم به بخشی از سیستمهای خود شده است. مهاجم موفق شده بهطور غیرمجاز به بخشی از زیرساخت Mixpanel دسترسی پیدا کرده و مجموعهای از دادهها را که شامل اطلاعات تحلیلی و مقدار محدودی دادهی قابل شناسایی مشتریان بوده، استخراج کند.
بنا به اعلامOpenAI اطلاعاتی که ممکن است تحت تأثیر این رخنه قرار گرفته باشند، شامل نام، آدرس ایمیل و شناسههای کاربری است. این شرکت همچنین تاکید کرده که استفاده خود از Mixpanel را متوقف کرده و بار دیگر تصریح کرده که این رخنه به دلیل هیچگونه آسیبپذیری در سیستمهای OpenAI رخ نداده است.
در پاسخ به این سوال که این رخنه چه معنایی برای دادههای کاربران دارد،OpenAI اعلام کرده که تحقیق درباره این حادثه را آغاز کرده و از کاربران خواسته که در برابر حملات فیشینگ و مهندسی اجتماعی هوشیار باشند؛ حملاتی که ممکن است با استفاده از دادههای بهدستآمده انجام شوند.
این شرکت همچنین کاربران را تشویق کرده از احراز هویت چندمرحلهای (MFA) برای افزایش امنیت حسابهای خود استفاده کنند.
اگرچه OpenAI تأکید کرده که هیچیک از مکالمات کاربران با ChatGPT فاش نشده است، اما این حادثه یادآور آن است که OpenAI تا چه حد به اطلاعات شخصی کاربران دسترسی دارد؛ بهویژه در شرایطی که بسیاری از افراد در گفتگو با چتباتها، اطلاعات حساسی از خود را بیان میکنند.
OpenAI در ادامه اعلام کرده که قصد دارد الزامات امنیتی سختگیرانهتری برای تمام شرکای خارجی خود اعمال کند.
با وجود اینکه استفاده از ابزارهای تحلیلی مانند Mixpanel رویهای رایج در صنعت فناوری است، برخی کارشناسان امنیتی نسبت به نحوه استفاده از این ابزارها هشدار دادهاند. موشه سیمانتُو بستان، رئیس تیم تحقیقاتی امنیت در شرکت OX Security، با اشاره به این موضوع گفته است: OpenAI از طریق Mixpanel، دادههایی مانند آدرس ایمیل و موقعیت مکانی کاربران را جمعآوری میکرد که برای بهبود محصول ضروری نبود و ممکن است با اصل حداقلسازی دادهها در قوانین GDPR مغایرت داشته باشد.
او افزود: شرکتها، چه غولهای فناوری مانند OpenAI و چه استارتاپهای کوچک، باید همواره دادههای مشتریان را بیش از حد محافظت و ناشناسسازی کنند، بهویژه زمانی که این دادهها را در اختیار شرکتهای ثالث قرار میدهند، تا از وقوع چنین رخنههایی جلوگیری شود. حتی در صورت استفاده از شرکتهای معتبر و بررسیشده، هر قطعه اطلاعات قابل شناسایی که به بیرون فرستاده شود، یک نقطهی بالقوه برای افشا یا سرقت داده خواهد بود.
