吳明宜OpenAI 部分 ChatGPT API 客戶資料因第三方分析服務商 Mixpanel 遭駭而外洩。外洩資訊包含客戶姓名、信箱等,但未涉及 API 金鑰。OpenAI 已移除 Mixpanel 並通知受影響用戶。
OpenAI 本周通知部份 ChatGPT API 客戶,因使用的第三方分析程式供應商 Mixpanel 被駭,導致部份客戶資料曝光。
Mixpanel 提供使用分析,讓 OpenAI 用以在 API 產品前端介面追蹤用戶互動。 Mixpanel 在 11 月 8 日偵測到一起釣魚簡訊攻擊,該事件又進一步影響其「小部份」客戶。這家公司調查後,於 11 月 25 告知 OpenAI 用戶資料外洩,但這事件只影響 API 部份用戶,不影響 ChatGPT 或其他產品用戶。
OpenAI 說,外洩的資訊包括 API 帳號的客戶姓名、 API 帳號關聯的電子郵件信箱位址、 API 用戶瀏覽器上的不精確位置資訊、導流網站、 API 帳號關聯的組織或用戶 ID 。
所幸敏感資訊並未曝光,因此用戶無需重設定碼或重新產生 API 金鑰。
不只是 OpenAI,部份用戶通報,加密貨幣產品組合追蹤平台 CoinTraker 也受影響,外洩資料包裝置 metadata 和交易數量。
OpenAI 已經暫時從其服務移除 Mixpanel,並且通知受影響的客戶。
雖然 OpenAI 強調僅 API 用戶受影響,不過所有付費用戶都接到其通知。該公司警告,外洩的資訊可能被駭客用戶發動釣魚信或社交工程攻擊,呼籲用戶留心釣魚信件。此外 OpenAI 也呼籲用戶啟甪雙因素驗證,並切勿以電子郵件、簡訊或聊天傳送敏感資訊,包括金鑰、驗證碼或密碼。
Mixpanel 採取的措施包括強化受影響的帳號、取消既有登入、輪詢被駭的憑證、封鎖攻擊者 IP 位址,並重設用戶密碼,也實作新控制以避免此事再發生。