اوپن‌ای‌آی پس از نشت داده‌ها، همکاری با شرکت Mixpanel را متوقف کرد

به گزارش پیوست، شرکت Mixpanel همان روز وقوع حادثه، اوپن‌ای‌آی را از رخنه امنیتی مطلع کرده اما دیتاست کامل مربوط به داده‌های افشا شده را تا ۲۵ نوامبر در اختیار شرکت قرار نداده است؛ موضوعی که حساسیت‌ها درباره مدیریت حادثه در این شرکت را افزایش داده است.

چه داده‌هایی افشا شد؟

طبق اعلام اوپن‌ای‌آی، داده‌های افشا شده مواردی با حساسیت پایین را شامل شده و داده‌های حساس در میان آنها وجود نداشته است. برای مثال مواردی چون نام‌های استفاده‌شده در حساب‌های API، آدرس‌های ایمیل، موقعیت مکانی تقریبی (بر اساس متادیتای مرورگر مانند شهر و ایالت)، نوع سیستم‌عامل و مرورگر، وب‌سایت‌های ارجاع‌دهنده، و شناسه‌های کاربری یا سازمانی مرتبط با حساب‌های  API در این نشت داده به سرقت رفته است.

شرکت اوپن‌ای‌آی تاکید کرده دارد که هیچ داده حساسی در این حمله افشا نشده است. گزارش چت‌ها، درخواست‌های API، حجم مصرف API، گذرواژه‌ها، کلیدهای API، اطلاعات پرداخت و اسناد هویتی دولتی کاملا از مهاجمان در امان بوده‌اند. همچنین محصولات مصرفی شرکت اوپن‌ای‌آی همچون چت‌بات محبوب ChatGPT در این رخنه تحت تاثیر قرار نگرفته‌اند.

با این حال رخنه امنیتی شرکت Mixpanel تنها به اوپن‌ای‌آی محدود نمی‌شود، گرچه این شرکت معروف‌ترین مشتری میکس‌پنل محسوب می‌شود.

شرکت CoinTracker که یک پلتفرم مالیاتی حوزه رمزارز است نیز طبق پستی که در بخش اخبار هکری وبلاگ Ycombinator منتشر شده است در همین حادثه، داده‌هایی مانند ایمیل کاربران، موقعیت جغرافیایی و متادیتای دستگاه‌ها افشا شده است. این موضوع بار دیگر نگرانی‌ها نسبت به امنیت زنجیره تامین دیجیتال و ریسک‌های وابستگی شرکت‌ها به فروشندگان شخص ثالث را افزایش داده می‌دهد.

پیش از این گزارشی از فایننشال تایمز با اشاره به داده‌های گزارش شرکت ورایزن در سال ۲۰۲۵،‌ نشان داد که چطور هکرهای سراسر جهان به جای شرکت‌های بزرگ به سراغ شرکای آنها و نقطه ضعف در زنجیره تامین می‌روند و حملاتی از این قبیل در سال ۲۰۲۴ نسبت به سال گذشته تا دو برابر افزایش یافته است.

در چنین حملاتی تامین‌کنندگان کوچک نرم‌افزاری، مراکز خدمات مشتریان یا حتی ارائه دهندگان راهکارهای هوش مصنوعی مورد هدف قرار می‌گیرند.

اوپن‌ای‌آی با وجود تاکید بر اینکه داده‌های حساس از دست هکرها در امان بوده هشدار داده است که مهاجمان ممکن است از این داده‌ها که مواردی چون آدرس ایمیل را شامل شده است، در حملات فیشینگ یا مهندسی اجتماعی سواستفاده کنند. شرکت از کاربران خواسته تا در بررسی پیام‌ها و تشخیص موارد مشکوک حساسیت بیشتری نشان دهند. طبق گفته اوپن‌ای‌آی این شرکت هرگز از طریق ایمیل، پیامک یا چت، رمز عبور، کلید API یا کدهای تایید را خواستار نمی‌شود.

اوپن‌ای‌آی اعلام کرد که Mixpanel فورا از تمام سرویس‌های عملیاتی حذف شده و بررسی امنیتی جامع تمام فروشندگان آغاز شده است. در بیانیه رسمی آمده است: «اعتماد، امنیت و حفاظت از حریم خصوصی، بنیان محصولات و ماموریت ماست. ما از تمام شرکا و تامین‌کنندگان خود انتظار بالاترین استانداردهای امنیتی را داریم.»

این حادثه بار دیگر نشان داد که حتی شرکت‌های پیشروی حوزه هوش مصنوعی نیز به میزان قابل توجهی به زیرساخت‌های شخص ثالث وابسته هستند و هرگونه ضعف در زنجیره تامین ممکن است، پیامدهای جدی را برای بزرگترین شرکت‌ها به دنبال داشته باشد.