إختراق أمني يستهدف بيانات مستخدمي ChatGPT

كشفت شركة OpenAI عن تعرّض بيانات بعض مستخدمي "ChatGPT " لإختراق أمني ناتج عن ثغرة في خدمة خارجية تُستخدم لتحليل البيانات.

ووقعت الحادثة في 9 نوفمبر، حين تمكّن مهاجمون من الوصول غير المصرح به إلىMixpanel، وهي شركة طرف ثالث تعتمد عليها OpenAI في جمع وتحليل بعض بيانات الإستخدام. وأسفر الإختراق عن تسرّب بيانات تشمل أسماء المستخدمين وعناوين البريد الإلكتروني والموقع الجغرافي ونوع نظام التشغيل والمتصفح.

وأوضحت OpenAI أن تأثير الحادثة إقتصر على المستخدمين الذين يمتلكون حسابات للوصول إلى واجهات برمجة التطبيقات (API) الخاصة بها (بعض المستخدمين لا يستخدمون ChatGPT فقط من خلال الموقع أو التطبيق، بل لديهم حسابات خاصة تمكّنهم من استخدام واجهات برمجة التطبيقات (API) التي توفّرها OpenAI للمطوّرين والشركات)، مؤكدة أن أنظمتها الداخلية لم تتعرض للإختراق.

وقالت الشركة في منشور: "لم يكن هذا إختراقا لأنظمة OpenAI"، مشددة على أن محتوى المحادثات وطلبات واجهة برمجة التطبيقات وبيانات الإستخدام وكلمات المرور ومفاتيح الوصول وبيانات الدفع والوثائق الحكومية لم تتعرّض لأي كشف أو تسريب.

كما أكدت أنها باشرت تحقيقا أمنيا واسعا في الحادث، وأنها أزالت Mixpanel من خدماتها الإنتاجية. كما أشارت إلى عدم وجود أي دليل على إساءة استخدام البيانات حتى الآن، لكنها حذّرت من إحتمال استغلالها في هجمات التصيد الإحتيالي أو الهندسة الإجتماعية، داعية المستخدمين إلى توخّي الحذر من الرسائل أو الروابط المشبوهة.

ويأتي هذا الحادث ضمن سلسلة من التحديّات الأمنية التي واجهت ChatGPT منذ إطلاقه في نوفمبر 2022، إذ اضطرت الشركة في مارس 2023 إلى إيقاف الخدمة مؤقتا بعد اكتشاف خلل سمح بالاطلاع على بيانات خاصة لعدد من المستخدمين، كما أعلنت شركة الأمن السيبراني Group-IB لاحقا عن إصابة أكثر من 100 ألف جهاز ببرامج ضارة سرقت بيانات تسجيل الدخول إلى المنصة دون أن يشمل ذلك أي اختراق لبنية OpenAI التحتية.