loading...
人工智能巨头OpenAI于本周三确认,本月初分析服务提供商Mixpanel的安全漏洞导致部分API用户的账户名称、邮箱地址及浏览器定位信息遭到泄露。这一事件引发外界担忧,网络犯罪分子可能利用被盗元数据实施定向钓鱼攻击。
据Mixpanel声明,11月8日未知攻击者侵入其部分系统,导出了包含客户可识别元数据与分析信息的数据集。被盗信息涵盖用户名、邮箱地址、浏览器近似定位、操作系统及浏览器详细信息。
OpenAI强调此次泄露不涉及用户指令内容、API密钥、支付信息或身份验证令牌。公司说明仅限通过API接口(即通过GPT技术支持的外部应用)使用其服务的用户数据受到影响。换言之,直接通过OpenAI官网访问ChatGPT聊天机器人的用户未受波及。
OpenAI在声明中表示:“作为安全调查环节,我们已将Mixpanel从生产服务中移除,核查了受影响数据集,并正与Mixpanel及其他合作伙伴紧密协作以全面掌握事件详情与影响范围。”
成立于2009年的旧金山企业Mixpanel是用于追踪网页与移动应用用户行为的产品分析平台。该公司称及时发现这起“短信钓鱼”攻击,经初步调查处置后于次日通报OpenAI。
OpenAI承诺秉持透明原则,已通知所有受影响客户与用户,同时要求合作伙伴与服务供应商严格遵守最高级别的安全隐私标准。
短信钓鱼是通过短信实施的网络钓鱼攻击。基础设施管理公司Spacelift十月报告显示,2024年此类攻击占移动设备威胁总量的39%。
Mixpanel表示已采取加固受影响账户、撤销活跃会话、更新泄露凭证及封禁恶意IP等措施,同时完成员工密码重置、聘请外部网络安全公司进驻,并对认证记录、会话数据及导出日志进行全面审查。
漏洞事件发生后,Mixpanel启动对受影响客户的专项通知机制。其首席执行官詹·泰勒声明:“未直接收到我方通知的用户均未受影响。我们始终将安全作为企业、产品与服务的核心准则,致力于为客户提供支持并保持事件沟通的透明度。”
尽管Mixpanel及时向OpenAI通报了事件,这家ChatGPT开发商仍决定终止与分析公司的合作。OpenAI在公告中写道:“经全面评估,已停止使用Mixpanel服务。”
部分OpenAI用户在社交媒体表达对第三方服务接触其信息的不满。有用户在X平台质疑:“对此深感不悦……为何要将我的姓名和邮箱提供给Mixpanel?我只是个尝试小型实验的业余爱好者。”另一条评论指出:“OpenAI向第三方分析平台传输姓名邮箱的行为极不负责任。”
545
565
651
663
637
588
861
679
189
