OpenAI confirma violação de dados – veja quem foi afetado

Uma violação no provedor de análise Mixpanel no início deste mês expôs nomes de contas, endereços de e-mail e localizações de navegadores para alguns usuários da API da OpenAI, confirmou a gigante da IA ​​​​na quarta-feira, levantando preocupações de que os cibercriminosos poderiam usar os metadados roubados em tentativas de phishing direcionadas.

De acordo com o Mixpanel, em 8 de novembro, um invasor desconhecido obteve acesso a parte de seus sistemas e exportou um conjunto de dados contendo metadados e informações analíticas identificáveis ​​do cliente. Os dados roubados incluíam nomes de usuário, endereços de e-mail, localização aproximada baseada no navegador, sistema operacional e detalhes do navegador.

A OpenAI disse que a violação não incluiu solicitações dos usuários, chaves de API, informações de pagamento ou tokens de autenticação.

Apenas dados de usuários que acessaram a tecnologia da OpenAI por meio da API – também conhecida como aplicativos externos alimentados por GPT – vazaram, disse a empresa. Ou seja, se você acessar o chatbot ChatGPT diretamente do site da OpenAI, não será impactado aqui.

“Como parte de nossa investigação de segurança, removemos o Mixpanel de nossos serviços de produção, revisamos os conjuntos de dados afetados e estamos trabalhando em estreita colaboração com o Mixpanel e outros parceiros para compreender completamente o incidente e seu escopo”, disse a OpenAI em comunicado.

Fundada em 2009, a Mixpanel, com sede em São Francisco, é uma plataforma de análise de produtos usada para rastrear o comportamento do usuário em aplicativos da web e móveis. A empresa disse que detectou a campanha “smishing” e, após uma investigação e resposta inicial, alertou a OpenAI no dia seguinte.

“Estamos comprometidos com a transparência e notificando todos os clientes e usuários afetados”, disse OpenAI. “Também responsabilizamos nossos parceiros e fornecedores pelos mais altos padrões de segurança e privacidade de seus serviços.”

Smishing é um tipo de ataque de phishing realizado por meio de mensagens SMS. De acordo com um relatório de outubro da empresa de gerenciamento de infraestrutura Spacelift, o smishing foi responsável por 39% de todas as ameaças móveis em 2024.

Mixpanel disse que protegeu contas afetadas, revogou sessões ativas, alternou credenciais comprometidas e bloqueou endereços IP maliciosos. A empresa também redefiniu senhas de funcionários, contratou empresas externas de segurança cibernética e revisou registros de autenticação, sessão e exportação.

Após a violação, a Mixpanel disse que começou a notificar os clientes afetados sobre o incidente.

“Se você não ouviu falar diretamente de nós, você não foi afetado”, disse a CEO da Mixpanel, Jen Taylor, em um comunicado. “Continuamos a priorizar a segurança como um princípio fundamental de nossa empresa, produtos e serviços. Estamos comprometidos em apoiar nossos clientes e nos comunicar de forma transparente sobre este incidente.”

Apesar do relato do incidente pela Mixpanel à OpenAI, o desenvolvedor do ChatGPT disse que estava cortando relações com a empresa de análise. “Depois de analisar este incidente, a OpenAI encerrou o uso do Mixpanel”, escreveram eles.

Alguns clientes da OpenAI recorreram às redes sociais para expressar frustração com a revelação de que um serviço de terceiros teve acesso às suas informações.

“Não estou muito feliz com isso. (…) Por que tiveram que passar meu nome e e-mail para o Mixpanel?” um usuário escreveu no X. “Sou apenas um hobby tentando fazer pequenos experimentos”.

“O envio de nomes e e-mails da OpenAI para uma plataforma analítica de terceiros (Mixpanel) parece extremamente irresponsável”, escreveu outro.

OpenAI e Mixpanel não responderam imediatamente aos pedidos de comentários de Descriptografar.