OpenAI bekræfter nu et omfattende databrud, hvor navne, e-mailadresser og andre personoplysninger om brugere af selskabets API-platform er blevet eksponeret.
Det fremgår af e-mails, som OpenAI torsdag morgen sendte ud til berørte kunder, skriver Windows Central.
Lækket skyldes ikke et angreb på OpenAI selv, men et brud hos den eksterne webanalyseleverandør Mixpanel, som OpenAI har anvendt til analyser på platform.openai.com, som er den grænseflade, hvor brugere administrerer deres API-konti.
Ifølge OpenAI har bruddet ikke berørt brugere af ChatGPT, og der er ikke tale om kompromittering af chatindhold, API-nøgler, betalingsoplysninger, adgangskoder eller andre følsomme data.
Disse data er blevet lækket
OpenAI oplyser, at de informationer om API-brugere, som er blevet lækket, omfatter navne knyttet til API-konti og mail-ladresser registreret på platform.openai.com.
Også omtrentlig lokation baseret på IP-adresse og browser, operativsystem, browsertype og henvisende websites samt organisationsoplysninger og bruger-ID’er tilknyttet API-kontoen er blandt de lækkede data.
Der er ikke oplyst, hvor mange brugere der er berørt af lækket.
Mixpanel havde ubudne gæster i systemerne
Ifølge OpenAI fandt hændelsen sted hos Mixpanel, som blev kompromitteret i første halvdel af november.
Her fik ukendte cyberkriminelle adgang til dele af Mixpanels systemer og eksporterede et datasæt, der indeholdt oplysninger om brugere af OpenAI’s API-front-end.
Mixpanel orienterede OpenAI om bruddet og delte den berørte datasamling den 25. november.
I den mail, OpenAI nu har sendt ud til kunderne, skriver selskabet følgende:
"Gennemsigtighed er vigtigt for os, og derfor vil vi informere dig om en nylig sikkerhedshændelse hos Mixpanel - en dataanalyseleverandør, som OpenAI har anvendt til webanalyse på frontend-interfacet for vores API-produkt (platform.openai.com). Hændelsen fandt sted i Mixpanels systemer og involverede begrænsede analysedata knyttet til din API-konto."
OpenAI oplyser, at virksomheden øjeblikkeligt har afbrudt al integration med Mixpanel, mens man undersøger hændelsen nærmere.
Samtidig advarer selskabet berørte brugere om øget risiko for phishing-forsøg og social engineering-angreb, hvor lækkede kontaktoplysninger kan blive misbrugt.
