數據分析服務商遭遇安全事件
人工智能巨頭OpenAI于本周三確認,本月初分析服務提供商Mixpanel的安全漏洞導致部分API用戶的賬戶名稱、郵箱地址及瀏覽器定位信息遭到泄露。這一事件引發外界擔憂,網絡犯罪分子可能利用被盜元數據實施定向釣魚攻擊。
事件詳情披露
據Mixpanel聲明,11月8日未知攻擊者侵入其部分系統,導出了包含客戶可識別元數據與分析信息的數據集。被盜信息涵蓋用戶名、郵箱地址、瀏覽器近似定位、操作系統及瀏覽器詳細信息。
OpenAI強調此次泄露不涉及用戶指令內容、API密鑰、支付信息或身份驗證令牌。公司說明僅限通過API接口(即通過GPT技術支持的外部應用)使用其服務的用戶數據受到影響。換言之,直接通過OpenAI官網訪問ChatGPT聊天機器人的用戶未受波及。
應急措施與后續處理
OpenAI在聲明中表示:“作為安全調查環節,我們已將Mixpanel從生產服務中移除,核查了受影響數據集,并正與Mixpanel及其他合作伙伴緊密協作以全面掌握事件詳情與影響范圍。”
成立于2009年的舊金山企業Mixpanel是用于追蹤網頁與移動應用用戶行為的產品分析平臺。該公司稱及時發現這起“短信釣魚”攻擊,經初步調查處置后于次日通報OpenAI。
OpenAI承諾秉持透明原則,已通知所有受影響客戶與用戶,同時要求合作伙伴與服務供應商嚴格遵守最高級別的安全隱私標準。
行業背景與防護舉措
短信釣魚是通過短信實施的網絡釣魚攻擊。基礎設施管理公司Spacelift十月報告顯示,2024年此類攻擊占移動設備威脅總量的39%。
Mixpanel表示已采取加固受影響賬戶、撤銷活躍會話、更新泄露憑證及封禁惡意IP等措施,同時完成員工密碼重置、聘請外部網絡安全公司進駐,并對認證記錄、會話數據及導出日志進行全面審查。
事件后續影響
漏洞事件發生后,Mixpanel啟動對受影響客戶的專項通知機制。其首席執行官詹·泰勒聲明:“未直接收到我方通知的用戶均未受影響。我們始終將安全作為企業、產品與服務的核心準則,致力于為客戶提供支持并保持事件溝通的透明度。”
盡管Mixpanel及時向OpenAI通報了事件,這家ChatGPT開發商仍決定終止與分析公司的合作。OpenAI在公告中寫道:“經全面評估,已停止使用Mixpanel服務。”
部分OpenAI用戶在社交媒體表達對第三方服務接觸其信息的不滿。有用戶在X平臺質疑:“對此深感不悅……為何要將我的姓名和郵箱提供給Mixpanel?我只是個嘗試小型實驗的業余愛好者。”另一條評論指出:“OpenAI向第三方分析平臺傳輸姓名郵箱的行為極不負責任。”
鄭重聲明:本文版權歸原作者所有,轉載文章僅為傳播更多信息之目的,如作者信息標記有誤,請第一時間聯系我們修改或刪除,多謝。
