OpenAI开发者用户部分数据泄露，国内亦受影响

前情回顾·OpenAI网络威胁态势

• ChatGPT Operator遭提示注入攻击，可导致用户敏感信息泄露

• 安全厂商警告2000万个OpenAI账号权限遭出售，官方回应

• 微软OpenAI云遭滥用：攻击者绕过安全护栏 对外售卖违规内容生成服务

• OpenAI反复修补未果的ChatGPT数据泄露漏洞是什么？

安全内参11月28日消息，AI巨头OpenAI正在通知部分ChatGPT API客户：由于第三方分析供应商Mixpanel遭到入侵，一些有限的可识别信息被曝光。

Mixpanel负责提供事件分析服务，OpenAI通过它追踪用户在API产品前端界面上的交互情况。

据这家AI公司表示，此次网络事件仅影响“与部分API用户相关的有限分析数据”，未波及ChatGPT或其他产品的用户。

供应商被黑致使API用户数据泄露

OpenAI在新闻稿中表示：“此次事件并非对OpenAI系统的入侵。没有任何聊天内容、API请求、API使用数据、密码、凭据、API密钥、支付信息或政府身份证件遭到泄露或曝光。”

Mixpanel报告指出，此次攻击“影响了我们少量客户”，源于公司在11月8日发现的一场短信钓鱼（smishing）攻击活动。

OpenAI于11月25日收到Mixpanel在持续调查后提供的受影响数据集详情。

该AI公司指出，被曝光的信息可能包括：

• API账号中填写的姓名

• 与API账号关联的电子邮件地址

• 根据API用户浏览器推测得出的大致位置（城市、州、国家）

• 用于访问API账号的操作系统及浏览器信息

• 引荐网站

• 与API账号关联的组织或用户ID

由于未涉及敏感凭据泄露，用户无需重置密码，也无需重新生成API密钥。

部分用户表示，加密货币投资组合追踪与税务平台CoinTracker也受到波及，其暴露的数据还包含设备元数据及有限的交易次数。

OpenAI已向所有用户发送通知

OpenAI已启动调查，以确定事件的完整影响范围。作为预防措施，OpenAI已将Mixpanel从其生产服务中移除，并正直接通知相关组织、管理员及个人用户。

图：安全内参读者反馈收到了通知邮件

尽管OpenAI强调此次事件仅影响API用户，但仍向所有订阅者发出了通知。

公司警告称，被泄露的数据可能被用于实施钓鱼或社会工程攻击，并建议用户警惕与此次事件相关、看似可信的恶意消息。

凡包含链接或附件的消息均应核实其来源，以确保来自OpenAI官方域名。

公司同时敦促用户启用双因素认证（2FA），并切勿通过电子邮件、短信或聊天发送诸如密码、API密钥或验证码等敏感信息。

Mixpanel首席执行官Jen Taylor表示，所有受影响的客户均已被直接联系。“如果你未收到我们的通知，则意味着你未受到影响。”她补充道。

为应对此次攻击，Mixpanel已保护受影响账号、撤销活动会话和登录、轮换受损凭据、封堵威胁行为者的IP地址，并为所有员工重置密码。同时，公司还实施了新的控制措施，以防止类似事件重演。

参考资料：https://www.bleepingcomputer.com/news/security/openai-discloses-api-customer-data-breach-via-mixpanel-vendor-hack/

声明：本文来自安全内参，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。