OpenAIは、一部のユーザーに対し、プロダクト分析およびイベントトラッキングソリューションプロバイダーであるMixpanelで最近発生したデータ侵害の影響を受けている可能性があることを通知しています。
Mixpanelは木曜日にこのセキュリティインシデントを公表し、11月8日に検知されたと述べました。同社はこれを「スミッシングキャンペーン」と説明し、「限られた数の顧客」が影響を受けていると指摘しました。
同社は侵入に関する技術的な情報は共有しませんでしたが、影響を受けたアカウントの保護、侵害された認証情報の変更、アクティブセッションの無効化、従業員のパスワードリセット、悪意のあるIPのブロックなどの対応を行ったと述べています。
Maxpanelはサイバー攻撃に関する情報をほとんど共有しませんでしたが、影響を受けた顧客の一つであるOpenAIは、影響に関する詳細を提供しています。
AI大手のOpenAIは、ウェブ解析のためにMixpanelを利用しており、プロダクトの利用状況を把握し、APIプロダクト(platform.openai.com)の改善に役立てています。
OpenAIは、自社インフラへの不正アクセスはなく、今回のデータ侵害はChatGPTのチャット内容、プロンプト、応答、API利用データには影響しなかったと述べています。OpenAIのパスワード、APIキー、支払い情報、アカウント認証情報、政府発行IDも漏洩していません。
「ChatGPTおよびその他のプロダクトのユーザーは影響を受けていません」とOpenAIは述べています。
しかし、攻撃者は「限定的な顧客識別情報および分析情報を含むデータセット」を盗みました。
具体的には、ハッカーは「platform.openai.com」に関連するユーザープロファイル情報(氏名、メールアドレス、ユーザーのブラウザに基づくおおよその位置情報(市、州、国など)、オペレーティングシステムとブラウザ、組織またはユーザーID、参照元ウェブサイト)を入手しました。
OpenAIは、漏洩した情報がフィッシングやソーシャルエンジニアリング攻撃に悪用される可能性があると警告しています。
「セキュリティ調査の一環として、Mixpanelを本番サービスから削除し、影響を受けたデータセットを確認し、Mixpanelや他のパートナーと緊密に連携してインシデントとその範囲を完全に把握するよう努めています。影響を受けた組織、管理者、ユーザーには直接通知を進めています。Mixpanelの環境外でシステムやデータに影響があった証拠は見つかっていませんが、不正利用の兆候がないか今後も注意深く監視を続けます」とOpenAIは述べています。
翻訳元: https://www.securityweek.com/openai-user-data-exposed-in-mixpanel-hack/
