Šta se desilo i ko je pogođen
Mixpanel je godinama služio kao dobavljač za web analitiku na frontend interfejsu OpenAI API platforme (platform.openai.com). Upravo u tom delu ekosistema došlo je do bezbednosnog incidenta: napadač je neovlašćeno pristupio delu Mixpanelovih sistema i izvezao ograničen skup podataka koji se odnosi na korisnike OpenAI API-ja.
Prema informacijama koje je OpenAI podelio sa korisnicima, kompromitovani podaci obuhvataju ime koje je upisano na API nalogu, mejl adresu, približnu lokaciju na osnovu pregledača (grad, država, zemlja), kao i informacije o operativnom sistemu, brauzeru, sajtu sa kog je korisnik došao i interne ID-jeve naloga ili organizacije.
Važno je naglasiti da ovo nije bio direktan napad na OpenAI, kako je saopštila ta kompanija, već na infrastrukturnog partnera. Nisu kompromitovani API ključevi, lozinke, podaci o plaćanju, niti bilo kakav sadržaj koji korisnici šalju kroz ChatGPT ili druge modele. Pogođen je samo deo publike koji koristi developersku platformu i API, ne i “obični” ChatGPT korisnici.
Zašto je ovo važno za devlopere i kako reagovati
Iako se radi o “ograničenim” podacima, kombinacija imena, mejla i informacije da koristite OpenAI API vrlo je dragocena za fišing i socijalni inženjering. Dovoljno je da napadač pošalje mejl koji izgleda kao legitimna poruka podrške (na primer, obaveštenje o “obnovi API ključa” ili “verifikaciji naloga”) da bi deo korisnika bio u iskušenju da klikne na link ili podeli poverljive podatke.
Zato OpenAI korisnicima savetuje dodatni oprez: neočekivane mejlove treba dvaput proveriti, posebno one koji traže bilo kakvu akciju vezanu za nalog, uplatu ili API ključeve. Poruke treba proveravati po domenu pošiljaoca, a lozinke, API ključeve i verifikacione kodove ne treba slati ni mejlom ni četom, bez obzira na to koliko poruka deluje uverljivo.
Kompanija je kao odgovor uklonila Mixpanel iz svojih produkcionih sistema i najavila strože bezbednosne kriterijume za sve partnere. Za developere i timove koji zavise od OpenAI API-ja, ključna poruka je jasna: i kada su modeli i ključevi bezbedni, “obični” podaci o nalogu mogu postati ulazna tačka za napad – a najbolja odbrana i dalje su oprez, dobra higijena lozinki i uključena višefaktorska autentifikacija.
