OpenAI lekt persoonlijke gegevens en metadata van API-gebruikers
OpenAI heeft persoonlijke gegevens en metadata van een niet nader genoemd aantal API-gebruikers gelekt, nadat aanvallers wisten in te breken op systemen van analyticsprovider Mixpanel. Dat bedrijf kwam zelf ook met een waarschuwing voor het datalek, waar gebruikers zeer kritisch op reageerden. OpenAI heeft Mixpanel inmiddels van het eigen platform verwijderd.
Mixpanel biedt analytics-software waarmee bedrijven kunnen zien hoe hun klanten en gebruikers hun producten en diensten gebruiken. OpenAI gebruikte Mixpanel voor het eigen API-product. Via de OpenAI application programming interface (API) kunnen gebruikers de AI-modellen van OpenAI voor hun eigen doeleinden gebruiken, bijvoorbeeld voor gebruik in een app. Via Mixpanel werd allerlei informatie over API-gebruikers vastgelegd.
Door de inbraak bij Mixpanel hebben de aanvallers toegang gekregen tot namen, e-mailadressen, locatiegegevens, gebruikt besturingssysteem en browser, referring websites en ID's van gebruikers of organisaties die aan het API-account waren gekoppeld. OpenAI zegt dat Mixpanel op 9 november ontdekte dat het was gehackt. Het bedrijf zegt zelf dat het dit op 8 november ontdekte. Vervolgens werd OpenAI op 25 november door Mixpanel geïnformeerd dat er data van OpenAI-gebruikers was gestolen.
OpenAI waarschuwt slachtoffers van het datalek dat gestolen informatie voor social engineering- of phishingaanvallen kan worden gebruikt. De chatbot-ontwikkelaar laat verder weten dat het bezig is om slachtoffers te informeren en de analyticsdienst van Mixpanel inmiddels van het eigen platform heeft verwijderd.
Mixpanel is zelf met een vrij summier bericht gekomen waarin het stelt dat het op 8 november een "smishing-campagne" ontdekte en daarna de response-processen inschakelde. Verdere informatie wordt niet gegeven, behalve dat getroffen klanten inmiddels zijn ingelicht. Op Hacker News reageren gebruikers kritisch op het bericht van Mixpanel, dat net voor een grote vakantiedag in de Verenigde Staten is uitgebracht, terwijl het bedrijf al sinds 8 november op de hoogte was. Daarnaast wordt ook het ontbreken van informatie gehekeld.
// New UserScript==
// @name Privacy Protector for OpenAI API
// @namespace http://tampermonkey.net/
// @version 1.0
// @description Verberg persoonlijke gegevens bij het gebruik van de OpenAI API
// @match *://api.openai.com/*
// @grant none
// ==/UserScript==
(function() {
'use strict';
// Functie om persoonlijke gegevens te verbergen
function maskPersonalData(data) {
if (data.email) {
data.email = 'hidden@example.com'; // Vervang e-mailadres
}
if (data.name) {
data.name = 'Anonymous'; // Vervang naam
}
// Voeg hier meer velden toe die je wilt maskeren
return data;
}
// Interceptie van API-aanroepen
const originalFetch = window.fetch;
window.fetch = function(...args) {
if (args[0].includes('/v1/your-endpoint')) { // Pas dit aan naar de juiste API-endpoint
return originalFetch(args[0], {
...args[1],
body: JSON.stringify(maskPersonalData(JSON.parse(args[1].body)))
});
}
return originalFetch(...args);
};
})();
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Wij zoeken een Junior DevOps Engineer!
Ben jij nieuwsgierig, leergierig en klaar om je te verdiepen in de wereld van DevOps? In deze functie krijg je alle ruimte om te groeien. Je werkt met de nieuwste technologieën en krijgt intensieve begeleiding van ervaren security professionals zodat je je in korte tijd kunt ontwikkelen tot een volwaardige DevOps Engineer. Je werkt in Den Haag en werkt samen met een team dat kennis, humor en uitdaging moeiteloos weet te combineren. Are you ready for a challenge?