OpenAIはMixpanelを通じたサードパーティのデータ侵害を確認し、名前、メールアドレス、ブラウザ情報など限定的なAPIユーザーメタデータが漏洩したことを明らかにしました。OpenAIのシステム自体は侵害されておらず、パスワード、APIキー、チャット内容、支払いデータは漏洩していません。
OpenAIは、APIダッシュボードのアクティビティ監視に使用していたサードパーティ分析ツールMixpanelに関するデータ侵害を確認しました。これはOpenAIのシステム自体への直接的な攻撃ではなく、Mixpanelが侵害され、攻撃者がAPIユーザーに関連するデータへアクセスし、エクスポートしたものです。
具体的には、パスワードや支払い情報、直接アクセスを許すような情報ではありません。流出したのはアカウントのメタデータで、分析ツールがデフォルトで収集するような情報です。内容は以下の通りです:
- 名前
- メールアドレス
- 参照元ウェブサイト
- 市区町村、州または国
- 内部ユーザーまたは組織ID
- ブラウザとオペレーティングシステム
OpenAIは即座に対応し、Mixpanelを本番環境から削除し、影響範囲の特定に向けた調査を開始しました。すでに影響を受けた全ユーザーに通知済みです。さらに、外部ベンダー全体の監査も実施中で、ユーザーには多要素認証の有効化や、不審なメッセージやフィッシングへの警戒を呼びかけています。
通常のChatGPTユーザーには影響がなかったことも明確にしておきます。漏洩はOpenAIのAPIプラットフォームを利用したユーザーに限定されています。
Mixpanelも不審なアクセスを検知し、攻撃者がOpenAIを含む複数顧客のデータをエクスポートしたことを認めています。同社はすでに脆弱性を修正し、外部のセキュリティ専門家を招いて調査を進めているとしています。
このようなサードパーティによるデータ侵害は決して珍しいことではありません。多くの企業が分析プロバイダーや決済処理業者、サポートプラットフォームに依存しており、それぞれ一定のリスクを伴います。どんなシステムも完全ではありませんが、重要なのは何か問題が起きたときの対応です。今回OpenAIはベンダーを即座にオフラインにし、被害状況を調査し、影響を受けたユーザーに迅速に通知しました。
良いニュースとしては、ChatGPTユーザーデータには影響がなく、OpenAIはすでに関与したサードパーティベンダーとの接続を遮断しています。一方で、一部データが盗まれ、同じユーザーを狙った情報漏洩やフィッシングに悪用される可能性が現実的に存在します。
したがって、OpenAIやMixpanelを名乗るメールには十分注意してください。特にパスワードのリセットやセキュリティ設定の確認を求めるものには警戒しましょう。また、この機会にOpenAIアカウントおよび連携しているメールアドレスの二要素認証を有効にすることをおすすめします。
翻訳元: https://hackread.com/openai-api-mixpanel-data-breach-chatgpt/
