كشفت شركة OpenAI عن تعرض بيانات بعض مستخدمي ChatGPT لاختراق أمني ناتج عن ثغرة في خدمة خارجية تُستخدم لتحليل البيانات.
ووقعت الحادثة في 9 نوفمبر، حين تمكن مهاجمون من الوصول غير المصرح به إلى Mixpanel، وهي شركة طرف ثالث تعتمد عليها OpenAI في جمع وتحليل بعض بيانات الاستخدام. وأسفر الاختراق عن تسرب بيانات تشمل أسماء المستخدمين وعناوين البريد الإلكتروني والموقع الجغرافي ونوع نظام التشغيل والمتصفح.
وأوضحت OpenAI أن تأثير الحادثة اقتصر على المستخدمين الذين يمتلكون حسابات للوصول إلى واجهات برمجة التطبيقات (API) الخاصة بها (بعض المستخدمين لا يستخدمون ChatGPT فقط من خلال الموقع أو التطبيق، بل لديهم حسابات خاصة تمكّنهم من استخدام واجهات برمجة التطبيقات (API) التي توفرها OpenAI للمطورين والشركات)، مؤكدة أن أنظمتها الداخلية لم تتعرض للاختراق.
وقالت الشركة في منشور على مدونتها: “لم يكن هذا اختراقا لأنظمة OpenAI”، مشددة على أن محتوى المحادثات وطلبات واجهة برمجة التطبيقات وبيانات الاستخدام وكلمات المرور ومفاتيح الوصول وبيانات الدفع والوثائق الحكومية لم تتعرض لأي كشف أو تسريب.
كما أكدت أنها باشرت تحقيقا أمنيا واسعا في الحادث، وأنها أزالت Mixpanel من خدماتها الإنتاجية. كما أشارت إلى عدم وجود أي دليل على إساءة استخدام البيانات حتى الآن، لكنها حذرت من احتمال استغلالها في هجمات التصيد الاحتيالي أو الهندسة الاجتماعية، داعية المستخدمين إلى توخي الحذر من الرسائل أو الروابط المشبوهة.
وقالت OpenAI: “إن أمن وخصوصية منتجاتنا يمثلان أولوية قصوى، ونؤكد التزامنا بحماية معلوماتكم والتصرف بشفافية عند ظهور أي مشكلات”.
وتعهدت بإجراء مراجعات أمنية موسعة للتطبيقات والخدمات التابعة لجهات خارجية، ورفع متطلبات الأمان لجميع شركائها ومورديها.
ويأتي هذا الحادث ضمن سلسلة من التحديات الأمنية التي واجهت ChatGPT منذ إطلاقه في نوفمبر 2022؛ إذ اضطرت الشركة في مارس 2023 إلى إيقاف الخدمة مؤقتا بعد اكتشاف خلل سمح بالاطلاع على بيانات خاصة لعدد من المستخدمين، كما أعلنت شركة الأمن السيبراني Group-IB لاحقا عن إصابة أكثر من 100 ألف جهاز ببرامج ضارة سرقت بيانات تسجيل الدخول إلى المنصة دون أن يشمل ذلك أي اختراق لبنية OpenAI التحتية.
