أكدت شركة "OpenAI" حدوث خرق أمني يتعلق بمزود تحليلات من طرف ثالث يدعى "Mixpanel".
شركة "OpenAI" المطوِّرة لـ"ChatGPT" أكدت وقوع حادث أمني وتقول إنه ليس ناجما عنها.
الخرق البياني يتعلق بمزوّد تحليلات من طرف ثالث هو "Mixpanel"، وقد أدى إلى كشف بيانات محدودة للمستخدمين مرتبطة بمنصة واجهة البرمجة التطبيقية لدى "OpenAI".
"لم يكن هذا اختراقا لأنظمة "OpenAI". لم تُخترق أو تُكشف أي محادثات، طلبات واجهة البرمجة التطبيقية "API"، بيانات استخدام "API"، كلمات المرور، بيانات الاعتماد، مفاتيح "API"، تفاصيل الدفع أو بطاقات الهوية الحكومية"، قالت الشركة في بريد إلكتروني أخطرت فيه المستخدمين يوم الخميس.
قالت "OpenAI" إن "Mixpanel" أصبحت على علم بوجود مهاجم في التاسع من نوفمبر.
تمكنت جهة التهديد من الوصول غير المصرح به إلى جزء من أنظمتها وقامت بتصدير مجموعة بيانات تحتوي على معلومات محدودة قابلة لتحديد هوية العملاء وبيانات تحليلات.
قالت "OpenAI" إن المعلومات التي قد تكون تأثرت تقتصر على الأسماء وعناوين البريد الإلكتروني ومعرّفات المستخدمين.
قالت "OpenAI" إنها أنهت استخدام "Mixpanel" وجددت التأكيد على أن الخرق لم يكن ناجما عن أي ثغرات في أنظمة "OpenAI".
ماذا يعني ذلك لبياناتك؟
قالت الشركة إنها ستحقق في الخرق وحثّت المستخدمين على زيادة الحذر من هجمات التصيّد الاحتيالي وخدع الهندسة الاجتماعية التي قد تحاول استغلال البيانات المسروقة.
تم تشجيع المستخدمين على تفعيل المصادقة متعددة العوامل كإجراء وقائي إضافي لحساباتهم.
ورغم أن "OpenAI" قالت إن أي محادثات مع "ChatGPT" لم تُكشف، فإن الحادث يذكّر بمدى كمية البيانات الشخصية التي تتمتع "OpenAI" بإمكانية الوصول إليها بينما يفضي الناس بما في نفوسهم إلى روبوتات الدردشة.
قالت "OpenAI" إنها تخطط لفرض متطلبات أمنية أكثر صرامة على جميع الشركاء الخارجيين.
وعلى الرغم من أن استخدام "OpenAI" لتحليلات "Mixpanel" يُعد ممارسة قياسية، فقد كانت تتعقّب بيانات مثل عناوين البريد الإلكتروني والموقع الجغرافي غير الضرورية لتحسين المنتج، ما قد يخالف مبدأ تقليل البيانات في اللائحة العامة لحماية البيانات "GDPR"، بحسب "Moshe Siman Tov Bustan"، قائد فريق أبحاث الأمن لدى "OX Security"، وهي شركة أمن متخصصة في الذكاء الاصطناعي.
"ينبغي للشركات، من عمالقة التكنولوجيا مثل "OpenAI" وصولا إلى الشركات الناشئة ذات الشخص الواحد، أن تسعى دائما إلى تعزيز الحماية وإخفاء هوية بيانات العملاء المُرسلة إلى أطراف ثالثة لتفادي تعرّض هذا النوع من المعلومات للسرقة أو الاختراق"، كما قال لـ"Euronews Next".
"حتى عند استخدام مزوّدين شرعيين ومُدقّقين، فإن كل جزء من بيانات قابلة للتعرّف على الهوية يُرسل خارجيا يخلق نقطة تعرّض محتملة إضافية".