OpenAI está notificando a algunos clientes de la API ChatGPT que se expuso información de identificación limitada luego de una violación en su proveedor de análisis externo Mixpanel.
Mixpanel ofrece análisis de eventos que OpenAI utiliza para rastrear las interacciones del usuario en la interfaz frontal del producto API.
Según la empresa de inteligencia artificial, el incidente cibernético afectó a “datos analíticos limitados relacionados con algunos usuarios de la API” y no afectó a los usuarios de ChatGPT u otros productos.
«Esto no fue una violación de los sistemas de OpenAI. Ningún chat, solicitudes de API, datos de uso de API, contraseñas, credenciales, claves de API, detalles de pago o identificaciones gubernamentales fueron comprometidos o expuestos». OpenAI dice en un comunicado de prensa.
panel mixto reportado que el ataque “afectó a un número limitado de nuestros clientes” y fue el resultado de una campaña de smishing (SMS phishing) que la empresa detectó el 8 de noviembre.
OpenAI recibió detalles del conjunto de datos afectado el 25 de noviembre después de ser informado de la investigación en curso de Mixpanel.
La empresa de IA señala que la información expuesta puede incluir:
- Nombre que nos fue proporcionado en la cuenta API
- Dirección de correo electrónico asociada con la cuenta API
- Ubicación aproximada basada en el navegador del usuario API (ciudad, estado, país)
- Sistema operativo y navegador utilizados para acceder a la cuenta API
- Sitios web de referencia
- ID de organización o usuario asociados con la cuenta API
Como no se expusieron credenciales confidenciales, los usuarios no necesitan restablecer contraseñas ni regenerar claves API.
Algunos usuarios son informar CoinTracker, una plataforma fiscal y de seguimiento de carteras de criptomonedas, también se ha visto afectada, y los datos expuestos también incluyen metadatos del dispositivo y un recuento limitado de transacciones.
OpenAI ha iniciado una investigación para determinar el alcance total del incidente. Como precaución, ha eliminado Mixpanel de sus servicios de producción y está notificando directamente a las organizaciones, administradores y usuarios individuales.
Si bien OpenAI subraya que sólo los usuarios de su API se ven afectados, notificó a todos sus suscriptores.
La compañía advierte que los datos filtrados podrían aprovecharse para ataques de phishing o de ingeniería social y aconseja a los usuarios que estén atentos a mensajes maliciosos que parezcan creíbles relacionados con el incidente.
Los mensajes que contengan enlaces o archivos adjuntos deben verificarse para garantizar que se originan en un dominio oficial de OpenAI.
La compañía también insta a los usuarios a habilitar 2FA y nunca enviar información confidencial, incluidas contraseñas, claves API o códigos de verificación, por correo electrónico, mensajes de texto o chat.
La directora ejecutiva de Mixpanel, Jen Taylor, dijo que se ha contactado directamente a todos los clientes afectados. “Si no ha tenido noticias nuestras, no se vio afectado”, señaló.
En respuesta al ataque, Mixpanel aseguró las cuentas afectadas, revocó sesiones e inicios de sesión activos, rotó las credenciales comprometidas, bloqueó las direcciones IP del actor de amenazas y restableció las contraseñas de todos los empleados. La compañía también ha implementado nuevos controles para evitar incidentes similares en el futuro.
A medida que MCP (Protocolo de contexto modelo) se convierte en el estándar para conectar los LLM a herramientas y datos, los equipos de seguridad se están moviendo rápidamente para mantener seguros estos nuevos servicios.
Esta hoja de trucos gratuita describe 7 mejores prácticas que puede comenzar a utilizar hoy.
