OpenAI confirma violação de segurança envolvendo o fornecedor externo de análise de dados, a Mixpanel.
OpenAI, criadora do ChatGPT, confirmou um incidente de segurança, que afirma não ser da sua responsabilidade.
A violação de dados envolve o fornecedor externo de análises Mixpanel e levou à exposição de dados limitados de utilizadores associados à sua plataforma de API.
"Isto não foi uma intrusão nos sistemas da OpenAI. Nenhum chat, pedidos à API, dados de utilização da API, palavras-passe, credenciais, chaves de API, detalhes de pagamento ou documentos de identificação emitidos pelo Estado foram comprometidos ou expostos", disse a empresa num email enviado aos utilizadores na quinta-feira.
A Mixpanel terá detetado um atacante a 9 de novembro, disse a OpenAI.
O atacante obteve acesso não autorizado a parte dos seus sistemas e exportou um conjunto de dados com informação limitada identificável de clientes e dados analíticos.
A OpenAI disse que a informação potencialmente afetada se limitou a nomes, endereços de email e identificadores de utilizador.
A OpenAI afirmou que deixou de utilizar a Mixpanel e reiterou que a violação não resultou de vulnerabilidades nos seus sistemas.
O que significa para os seus dados?
A empresa disse que vai investigar a violação e apelou a vigilância acrescida face a ataques de phishing e esquemas de engenharia social que possam tentar explorar os dados roubados.
Foi recomendado aos utilizadores que ativem a autenticação multifator como medida adicional de proteção das contas.
Apesar de a OpenAI indicar que nenhuma conversa com o ChatGPT foi exposta, o incidente lembra a quantidade de dados pessoais a que a empresa tem acesso quando as pessoas desabafam com chatbots.
A OpenAI disse que planeia impor requisitos de segurança mais rigorosos a todos os parceiros externos.
Embora o uso de análises da Mixpanel pela OpenAI seja prática comum, estavam a ser recolhidos dados como endereços de email e localização que não eram necessários para melhorar o produto, potencialmente violando o princípio da minimização de dados do RGPD, afirmou Moshe Siman Tov Bustan, líder de equipa de investigação de segurança na OX Security, empresa de segurança em IA.
"As empresas, dos gigantes tecnológicos como a OpenAI às startups de uma só pessoa, devem sempre procurar reforçar a proteção e anonimizar os dados de clientes enviados a terceiros para evitar que esse tipo de informação seja roubado ou alvo de violação", disse à Euronews Next.
"Mesmo recorrendo a fornecedores legítimos e auditados, cada dado identificável enviado externamente cria mais um potencial ponto de exposição".