OpenAI heeft bevestigd dat er een beveiligingsincident heeft plaatsgevonden met een derde partij analytics-provider, Mixpanel. De maker van ChatGPT geeft aan dat deze inbreuk niet aan hen te wijten is.
Het datalek betreft de derde partij Mixpanel, wat heeft geleid tot de blootstelling van beperkte gebruikersgegevens die verband houden met hun API-platform. In een e-mail aan gebruikers verklaarde het bedrijf: “Dit was geen inbreuk op de systemen van OpenAI. Geen chat- of API-verzoeken, API-gebruikgegevens, wachtwoorden, inloggegevens, API-sleutels, betalingsgegevens of overheid identificaties zijn gecompromitteerd of blootgesteld.”
Volgens OpenAI werd Mixpanel op 9 november op de hoogte gesteld van een aanvaller. Deze kwaadwillende heeft ongeautoriseerde toegang gekregen tot een deel van de systemen en heeft een dataset geëxporteerd die beperkte klant-herkenbare informatie en analytische gegevens bevatte.
OpenAI zei dat de informatie die mogelijk is aangetast beperkt bleef tot namen, e-mailadressen, en gebruikersidentificatoren. Het bedrijf heeft het gebruik van Mixpanel stopgezet en benadrukt dat de inbreuk niet het gevolg was van kwetsbaarheden in de systemen van OpenAI.
Wat betekent dit voor jouw gegevens?
Het bedrijf heeft aangegeven de inbreuk te onderzoeken en heeft gebruikers aangespoord extra op te letten voor phishing-aanvallen en social engineering-fraude die mogelijk gebruik proberen te maken van de gestolen gegevens. Gebruikers zijn aangemoedigd om multi-factor authenticatie in te schakelen als een extra beveiligingsmaatregel voor hun accounts.
Hoewel OpenAI heeft verklaard dat er geen gesprekken met ChatGPT zijn blootgesteld, herinnert dit incident ons eraan hoeveel persoonlijke gegevens OpenAI heeft, als mensen hun zielen blootleggen aan chatbots.
OpenAI heeft aangekondigd strengere beveiligingseisen te zullen hanteren voor alle externe partners. Hoewel het gebruik van Mixpanel-analytics standaardpraktijk is, werd er gegevens verzameld zoals e-mailadressen en locaties die niet noodzakelijk waren voor productverbetering, wat mogelijk in strijd is met het GDPR-principe van gegevensminimalisatie.
“Bedrijven – van techgiganten zoals OpenAI tot eenmansstartups – moeten altijd streven naar het overbeschermen en anonimiseren van klantgegevens die naar derden worden gestuurd, om te voorkomen dat dergelijke informatie wordt gestolen of in breach raakt,” vertelde Moshe Siman Tov Bustan, teamleider van het beveiligingsonderzoeksteam bij OX Security, een AI-beveiligingsbedrijf, aan Euronews Next.
“Zelfs bij het gebruik van legitieme, geverifieerde leveranciers creëert elk identificeerbaar gegeven dat extern wordt verzonden een nieuw potentieel blootstellingspunt.”
