OpenAI 現在通知客戶,因為攻擊者入侵了數據分析提供商 Mixpanel 的系統,導致與其開發者平台相關的用戶數據被洩露。該公司表示,這次事件僅限於 Mixpanel 的環境,並不涉及 OpenAI 自身的基礎設施或面向消費者的 ChatGPT 服務。儘管如此,被盜的數據包含了足夠的個人和技術細節,使得針對性的網絡釣魚攻擊和社會工程攻擊的可能性增加,OpenAI 目前已經暫停使用 Mixpanel,並展開調查。
根據 OpenAI 的描述,這次洩露的信息包括「有限的客戶可識別信息及分析信息」,與 API 帳戶相關,具體包括:
至關重要的是,OpenAI 表示在洩露的數據集中並不包括高度敏感的數據:沒有密碼、API 密鑰、帳戶憑證、支付詳情、政府身份證明或 ChatGPT 聊天內容及提示。
受 OpenAI Mixpanel 事件影響的用戶
這次洩露影響的是使用 platform.openai.com 的 OpenAI API 產品的用戶,而非更廣泛的 ChatGPT 使用者。
OpenAI 表示,正在直接通知受影響的組織、管理員和最終用戶,並計劃在 11 月 25 日完成對 Mixpanel 提供的數據集的審查後進行進一步的通報。
OpenAI 和 Mixpanel 的安全應對措施
Mixpanel 將此次入侵事件描述為 11 月 8 日檢測到的「釣魚短信」活動的結果。作為對應措施,該公司表示已經保護了受影響的帳戶,重置了憑證,撤銷了活動會話,重置了員工密碼,並封鎖了惡意 IP 地址。
OpenAI 的應對措施則集中在切斷數據管道和加強供應商監管。在其網站上發佈的公開事件通告中,該公司表示:
該公司還表示,正在對所有第三方供應商進行更廣泛的安全審查,並計劃對任何處理客戶數據的外部分析或基礎設施工具施加更嚴格的要求。
OpenAI API 用戶的安全及隱私風險
即使沒有密碼或令牌,洩露的元數據對攻擊者而言仍然是有用的。姓名、電子郵件、位置、組織 ID 及設備指紋使得攻擊者更容易編寫令人信服的消息,冒充 OpenAI 或內部管理員。
OpenAI 警告說,被盜的數據可能被用於釣魚和社會工程攻擊,並敦促受影響的用戶:
- 對意外的電子郵件、DM 或 SMS 消息保持警惕,特別是那些提及 OpenAI 帳戶或收費的。
- 核實發件人域名,避免點擊不受信任的鏈接或附件。
- 在 OpenAI 及相關帳戶上啟用多重身份驗證,如果可用的話。
- 避免在公共代碼庫或論壇中分享組織或用戶 ID。
該公司重申,並未發現有任何證據顯示有系統或數據在 Mixpanel 環境之外被訪問,但表示將繼續監控是否有濫用的跡象。這次事件凸顯了現代人工智能基礎設施在多大程度上依賴於第三方分析和遙測,並且這些集成如何在核心系統保持鎖定的情況下仍然可能洩露用戶數據。
