أسماء وبريد إلكتروني في خطر .. حادث أمني يطال مستخدمي OpenAI

أعلنت شركة OpenAI، عن إيقاف استخدام منصة التحليلات Mixpanel بعد حادث أمني لدى المزود أدى إلى تسريب معلومات المستخدمين المرتبطين بحسابات API الخاصة بالشركة. 

وأوضحت الشركة التي تتخذ من سان فرانسيسكو مقرا لها أن مستخدمي ChatGPT ومنتجات أخرى لم يتأثروا جراء هذا التسريب.

بعد جدل طويل.. OpenAI تصلح خطأ مزعجا في ChatGPT

OpenAI تكسر الحواجز.. ميزة تضع البشر والذكاء الاصطناعي بمحادثة واحدة

استخدام Mixpanel والتحقيق الأمني

قالت OpenAI إن الشركة كانت تستخدم Mixpanel لمساعدتها في فهم كيفية استخدام المنتجات وتحسين خدماتها المتعلقة بالـAPI.

وأضافت الشركة في تدوينة رسمية: “كجزء من تحقيقنا الأمني، قمنا بإزالة Mixpanel من خدماتنا الإنتاجية، وراجعنا مجموعات البيانات المتأثرة، ونعمل عن كثب مع Mixpanel وشركاء آخرين لفهم الحادث ونطاقه بشكل كامل، ونحن بصدد إشعار المنظمات والمشرفين والمستخدمين المتأثرين مباشرة”.

وأكدت OpenAI: “على الرغم من أننا لم نجد أي دليل على تأثير هذا التسريب على الأنظمة أو البيانات خارج بيئة Mixpanel، فإننا نواصل المراقبة عن كثب لأي علامات على سوء استخدام محتمل”.

البيانات المتأثرة بالتسريب

ذكرت OpenAI أن البيانات التالية قد تكون تعرضت للتسريب:

- الاسم المرتبط بحساب API

- البريد الإلكتروني لحساب API

- الموقع التقريبي للمستخدم (مدينة، ولاية، دولة) استنادا إلى متصفح المستخدم

- نظام التشغيل والمتصفح المستخدم للوصول إلى حساب API

- المواقع المحيلة (Referring websites)

- معرفات المنظمة أو المستخدم المرتبطة بالحساب

وأضافت الشركة أن معلومات الملف الشخصي للمستخدم المرتبطة بمنصة platform.openai قد تكون أيضا جزءا من البيانات المستخرجة من Mixpanel.

وفي المقابل، أكدت OpenAI أن محتوى الدردشات، المطالبات، الردود، وبيانات استخدام الـAPI لم تتأثر بالتسريب، كما أن كلمات المرور، مفاتيح API، معلومات الدفع، بطاقات الهوية الحكومية، وبيانات الوصول إلى الحسابات لم تتأثر.

إجراءات OpenAI بعد الحادث

أشارت الشركة إلى أنها تقوم بإشعار المستخدمين والمنظمات المتأثرة عبر البريد الإلكتروني، كما أنها تجري مراجعات أمنية موسعة عبر جميع شركائها ومزوديها، وترفع متطلبات الأمان لجميع الشركاء.

حذرت OpenAI من أن البيانات المسربة قد تستخدم في هجمات تصيد أو هندسة اجتماعية، وأضافت أن المستخدمين يجب أن يكونوا يقظين تجاه الرسائل الاحتيالية المحتملة أو البريد المزعج.

وقدمت الشركة النصائح التالية لمستخدمي API:

- التعامل بحذر مع الرسائل أو الإيميلات غير المتوقعة، خاصة إذا احتوت على روابط أو مرفقات.

- التأكد من أن أي رسالة تدعي أنها من OpenAI صادرة من نطاق رسمي للشركة.

- OpenAI لا تطلب كلمات المرور أو مفاتيح API أو رموز التحقق عبر البريد الإلكتروني أو الرسائل النصية أو الدردشة.

- تعزيز أمان الحساب عبر تفعيل المصادقة متعددة العوامل MFA.