OpenAI פרסמה בימים האחרונים הודעה רשמית על אירוע צד שלישי שמחדד את שאלת האמון בשרשרת הספקים. האירוע חושף פרצת אבטחה שהתגלתה אצל Mixpanel, שירות האנליטיקות שבו השתמשה החברה לצורך ניטור התנהגות בממשק ה-API. זהו אירוע שמוגבל כולו לתשתיות של Mixpanel. OpenAI מדגישה כי לא הייתה כל חדירה למערכות שלה וכי מקור הבעיה אינו בפגם באבטחה הפנימית שלה.
רוצים לקבל עדכונים בלייב? רוצים מקום בו אתם יכולים להתייעץ עם מומחי AI, לשאול שאלות ולקבל תשובות? רוצים לשמוע על מבצעים והטבות לכלי ה-AI שמשנים את העולם? הצטרפו לקהילות ה-AI שלנו.
אפשר גם להרשם לניוזלטר שלנו
הסיפור מתחיל בתחילת נובמבר, כאשר Mixpanel זיהתה תוקף שהצליח להיכנס לאזור מסוים במערכות שלה ולייצא משם מידע. רק לקראת סוף החודש העבירה החברה ל-OpenAI את הדאטה שנחשף, מה שאיפשר לחוקרי האבטחה של OpenAI להבין מה בדיוק יצא החוצה.
כבר מהרגע הראשון היה ברור שאין כאן חדירה למערכות של OpenAI עצמה. התוקף לא נגע בצ’טים, לא ראה בקשות API ולא קיבל שום מידע רגיש כמו סיסמאות, מפתחות API, פרטי תשלום או מסמכים. גם משתמשי ChatGPT לא מעורבים באירוע הזה בשום צורה.
ובכל זאת, חלק מהמידע שהיה מאוחסן אצל Mixpanel נחשף. מדובר בפרטים בסיסיים שמתקבלים כחלק מפעילות אנליטית רגילה: השם שהופיע בחשבון ה-API, כתובת האימייל, מיקום גס לפי הדפדפן, מערכת ההפעלה והדפדפן שממנו בוצעה הגישה, אתרים מפנים ומזהי משתמש או ארגון.
אלה נתונים שאינם מסכנים מערכות או תכנים, אך הם כן יכולים להפוך בסיס לניסיונות התחזות מתוחכמים. כאשר תוקף יודע מי המשתמש, באיזו פלטפורמה הוא רשום ואיזו כתובת מייל משויכת אליו, קל לייצר הודעות שנראות אמינות למדי.
OpenAI הגיבה באופן תקיף ומיידי. Mixpanel הוסרה לחלוטין מהמערכות הפעילות כבר בתחילת החקירה. צוותי האבטחה עברו על כל החומר שהודלף כדי לוודא שאין בו שום פרט מעבר למה ש-Mixpanel דיווחה.
במקביל, OpenAI החלה להודיע אישית לכל משתמש ולכל ארגון שנפגע, וממשיכה לנטר מקרוב כל סימן אפשרי לשימוש לרעה במידע שנחשף. בנוסף, החברה פתחה בבדיקה מחודשת של כלל ספקי המשנה שלה, והבהירה כי דרישות האבטחה מול כל ספק חיצוני יעלו משמעותית.
מהצד של המשתמשים, המשמעות המעשית של האירוע איננה טכנית אלא התנהגותית. אין כל צורך להחליף סיסמאות או מפתחות API, משום שהם כלל לא היו חלק מהמידע שנחשף. הסיכון היחיד שנשאר על הפרק הוא פישינג. זו גם הסיבה לדרישה של OpenAI להישאר ערניים: לזהות הודעות חשודות, לוודא שכל פנייה שמגיעה לכאורה מטעמם אכן מגיעה מדומיין רשמי, ולהפעיל אימות דו שלבי בחשבון.
המטרה היא לא לחסום גישה קיימת של תוקף, אלא למנוע מצב שבו פרטי הזיהוי הבסיסיים שהודלפו יאפשרו התחזות מתוחכמת יותר.
למעשה, האירוע הזה מדגים שוב עד כמה שרשרת האספקה הדיגיטלית מורכבת ועד כמה גם שירותי צד שלישי יכולים להפוך לנקודת חולשה. כאן מדובר בדליפה מצומצמת יחסית ובסיכון מוגבל, אבל ההתמודדות של OpenAI איתו מצביעה על הבנה רחבה יותר: האחריות על הפרטיות לא מסתיימת בגבולות התשתית שלה, אלא נמשכת גם אל כל שירות שהחברה בוחרת לשלב בדרך.
רוצים לקבל עדכונים בלייב? רוצים מקום בו אתם יכולים להתייעץ עם מומחי AI, לשאול שאלות ולקבל תשובות? רוצים לשמוע על מבצעים והטבות לכלי ה-AI שמשנים את העולם? הצטרפו לקהילות ה-AI שלנו.
אפשר גם להרשם לניוזלטר שלנו
רוצים לקבל עדכונים על כל מה שחדש ומעניין בעולם ה-AI? הרשמו לניוזלטר שלנו!
תוצאות נוספות...
תוצאות נוספות...
