OpenAI ha confermato una violazione di sicurezza che coinvolge Mixpanel, fornitore di analisi di terze parti.
Data breach di Mixpanel coinvolge OpenAI: esposti nomi ed email, nessuna chat compromessa
OpenAI, creatrice di ChatGPT, ha confermato un incidente di sicurezza che, precisa, non è dipeso dai suoi sistemi.
Il data breach riguarda il fornitore di analisi di terze parti Mixpanel e ha comportato l’esposizione di dati utente limitati relativi alla piattaforma API di OpenAI.
“Non si è trattato di una violazione dei sistemi di OpenAI. Nessuna chat, richiesta API, dato di utilizzo delle API, password, credenziale, chiave API, dettaglio di pagamento o documento d’identità è stato compromesso o esposto”, ha scritto l’azienda in un’email inviata agli utenti giovedì.
Secondo OpenAI, Mixpanel si è accorta della presenza di un attaccante il 9 novembre.
L’autore dell’attacco ha ottenuto accesso non autorizzato a parte dei sistemi di Mixpanel ed ha esportato un dataset che conteneva informazioni identificative limitate sui clienti e dati di analisi.
OpenAI ha precisato che le informazioni potenzialmente coinvolte si limitano a nomi, indirizzi email e identificativi utente.
OpenAI ha interrotto l’utilizzo di Mixpanel e ha ribadito che la violazione non è stata causata da vulnerabilità dei propri sistemi.
Cosa significa per i tuoi dati?
L’azienda ha annunciato un’indagine sulla violazione e ha invitato gli utenti a essere particolarmente vigili contro attacchi di phishing e truffe di ingegneria sociale che potrebbero sfruttare i dati rubati.
Agli utenti è stato consigliato di attivare l’autenticazione multifattore come ulteriore misura di protezione per i loro account.
OpenAI ha precisato che nessuna conversazione con ChatGPT è stata esposta. L’incidente ricorda però quanti dati personali siano accessibili a OpenAI, man mano che le persone affidano pensieri e informazioni ai chatbot.
OpenAI ha annunciato che imporrà requisiti di sicurezza più rigidi a tutti i partner esterni.
Secondo Moshe Siman Tov Bustan, team lead della ricerca sulla sicurezza presso OX Security, società di sicurezza AI, l’uso di Mixpanel da parte di OpenAI è prassi comune. Tuttavia, venivano tracciati dati come indirizzi email e posizione, non necessari al miglioramento del prodotto, in potenziale violazione del principio di minimizzazione dei dati previsto dal GDPR.
“Le aziende, dai giganti tecnologici come OpenAI alle startup di una sola persona, dovrebbero sempre puntare a proteggere al massimo e ad anonimizzare i dati dei clienti inviati a terzi, per evitare che quel tipo di informazioni venga rubato o violato”, ha detto a Euronews Next.
“Anche quando si utilizzano fornitori legittimi e verificati, ogni dato identificabile inviato all’esterno crea un ulteriore punto di possibile esposizione”.