كشفت شركة OpenAI عن تعرض بيانات عدد من مستخدمي خدماتها لاختراق أمني، بعد استهداف منصة Mixpanel، وهي خدمة خارجية تعتمد عليها الشركة لتحليل بعض بيانات الاستخدام.
ووقع الهجوم في 9 نوفمبر، حيث تمكن مهاجمون من الوصول بشكل غير مصرح به إلى أنظمة Mixpanel، ما أدى إلى تسرب بيانات تضمنت أسماء المستخدمين وعناوين البريد الإلكتروني والموقع الجغرافي ونوع نظام التشغيل والمتصفح.
وأوضحت OpenAI أن تأثير الحادث اقتصر على المستخدمين الذين يمتلكون حسابات للوصول إلى واجهات برمجة التطبيقات (API)، مؤكدة أن أنظمتها الداخلية لم تتعرض لأي اختراق، وأن محتوى المحادثات وطلبات API وبيانات الاستخدام وكلمات المرور ومفاتيح الوصول وبيانات الدفع والوثائق الحكومية لم تُكشف أو تتعرض للتسريب.
وأكدت الشركة أنها بدأت تحقيقًا أمنيًا موسعًا فور اكتشاف الواقعة، واتخذت قرارًا بإزالة Mixpanel من خدماتها الإنتاجية، مشيرة إلى عدم وجود أي دليل حتى الآن على إساءة استخدام البيانات المسربة.
لكنها حذّرت من احتمال استغلال هذه المعلومات في هجمات تصيد احتيالي أو عمليات هندسة اجتماعية، داعية المستخدمين إلى توخي الحذر من أي رسائل أو روابط مجهولة.
وشددت OpenAI على التزامها بحماية خصوصية المستخدمين والحفاظ على أمن منتجاتها، مؤكدة أنها تتعامل مع الحادث بشفافية كاملة.
كما تعهدت بإجراء مراجعات أمنية شاملة لجميع التطبيقات والخدمات التابعة لجهات خارجية، ورفع معايير الأمان المفروضة على الشركاء والموردين بهدف منع تكرار مثل هذه الحوادث مستقبلاً.
ويأتي هذا الاختراق ضمن سلسلة من التحديات الأمنية التي واجهتها الشركة خلال الأعوام الماضية، إذ اضطرت OpenAI في مارس 2023 إلى إيقاف خدمة ChatGPT مؤقتًا بعد اكتشاف خلل أدى إلى ظهور بيانات خاصة لبعض المستخدمين.
كما أعلنت شركة الأمن السيبراني Group-IB لاحقًا عن إصابة أكثر من 100 ألف جهاز ببرامج ضارة سرقت بيانات تسجيل الدخول إلى المنصة، دون أن يشمل ذلك أي اختراق لبنية OpenAI نفسها.
