OpenAI admite una filtración de datos después de que Mixpanel fuera víctima de un ataque de ‘phishing’
OpenAI ha sufrido una importante filtración de datos después de que unos hackers irrumpieran en los sistemas de su socio de análisis Mixpanel y robaran información de los perfiles de clientes de su portal API, según han declarado ambas empresas en comunicados coordinados.
Jen Taylor, directora ejecutiva de Mixpanel, ha confirmado que el incidente tuvo lugar el 8 de noviembre, cuando la empresa “detectó una campaña de smishing y ejecutó rápidamente nuestros procesos de respuesta a incidentes”.
El smishing es una forma de phishing por SMS dirigida a empleados concretos, muy popular entre los hackers porque los mensajes de texto eluden los controles normales de las empresas. Esto permitió a los atacantes acceder al sistema de Mixpanel y robar una serie de metadatos relacionados con los perfiles de las cuentas de platform.openai.com:
· Nombre proporcionado a OpenAI en la cuenta API.
· Dirección de correo electrónico asociada a la cuenta API.
· Ubicación aproximada basada en el navegador del usuario API (ciudad, estado, país).
· Sistema operativo y navegador utilizados para acceder a la cuenta API.
· Sitios web de referencia.
· Identificadores de organización o usuario asociados a la cuenta API.
Taylor ha reconocido que “nos hemos comunicado de forma proactiva con todos los clientes afectados. Si no ha recibido noticias nuestras directamente, es que no se ha visto afectado”.
Según una publicación independiente de OpenAI, Mixpanel compartió con la compañía el conjunto de datos de los clientes afectados el 25 de noviembre. Tras revisarlo, OpenAI dejó de utilizar Mixpanel, lo que implica que esta medida podría ser permanente.
El incidente afecta a algunos clientes con cuentas en platform.openai.com, pero no a los usuarios de ChatGPT u otros productos de OpenAI, según ha destacado la empresa.
“Estamos en proceso de notificar directamente a las organizaciones, administradores y usuarios afectados. Aunque no hemos encontrado pruebas de que haya habido ningún efecto en los sistemas o datos fuera del entorno de Mixpanel, seguimos vigilando de cerca cualquier indicio de uso indebido”, han reconocido desde OpenAI.
Y prosiguen: “No se trata de una violación de los sistemas de OpenAI. No se han visto comprometidos ni expuestos los chats, las solicitudes de API, los datos de uso de API, las contraseñas, las credenciales, las claves de API, los datos de pago ni los documentos de identidad oficiales”.
¿Cómo deben reaccionar los clientes?
Existen tres niveles de preocupación: qué clientes de la API de OpenAI se ven afectados, cómo podrían utilizar los atacantes los datos robados, y la posibilidad, aunque hipotética, de que datos más valiosos —como las claves API o las credenciales de las cuentas— puedan estar en peligro.
En cuanto a la primera cuestión, como se ha señalado con anterioridad, ambas empresas han afirmado haberse puesto en contacto con los clientes afectados, sin especificar el número de usuarios. OpenAI ha creado una dirección de correo electrónico para los clientes que tengan más preguntas: mixpanelincident@openai.com.
Por su parte, Mixpanel ha habilitado una dirección equivalente: support@mixpanel.com.
No obstante, si algo han enseñado al mundo décadas de violaciones de datos, es que las empresas no siempre conocen el alcance total de una intrusión, incluso cuando afirman lo contrario. Por esa razón, sería prudente que los clientes de OpenAI aún no contactados que realicen la misma revisión de seguridad que aquellos que sí lo han sido.
OpenAI ha indicado que los clientes deben estar atentos a posibles ataques de phishing dirigidos a las direcciones de correo electrónico afectadas y comprobar que los mensajes que parezcan enviados desde el dominio de OpenAI sean auténticos. También deben activar la autenticación multifactor (MFA).
Si el phishing suena genérico, los peligros son más específicos en el contexto de una conexión API e incluyen alertas falsas más matizadas, como las relacionadas con facturación, mensajes de cuota y accesos sospechosos.
Según OpenAI, no es necesario que los clientes roten o restablezcan las credenciales de la cuenta o las claves API, que los atacantes podrían utilizar para robar datos o consumir servicios. Aun así, es probable que los desarrolladores más cautelosos ignoren esta recomendación y roten sus credenciales para eliminar cualquier riesgo.
Varias organizaciones involucradas en la seguridad de API e IA han ofrecido desgloses más detallados de las recomendaciones a la luz del incidente OpenAI–Mixpanel, entre ellas Ox Security y Dev Community.
Superficie de ataque descendente
OpenAI utiliza plataformas de análisis externas, como Mixpanel, para realizar un seguimiento de cómo interactúan los clientes con los modelos a través de la API. Esto incluye los modelos seleccionados por un cliente, así como metadatos básicos como la ubicación y la dirección de correo electrónico mencionadas anteriormente. Lo que no realiza es un seguimiento de la “carga útil” del usuario, es decir, las consultas y respuestas del chatbot enviadas al modelo desde un navegador, que están encriptadas.
El incidente pone de relieve que la seguridad de la plataforma principal no es más que una parte del riesgo: las plataformas secundarias y los socios pueden convertirse en una puerta trasera que exponga incluso a las organizaciones más cuidadosas, como han comprobado algunos clientes de Salesforce con las violaciones de datos derivadas de su socio Salesloft.
En consecuencia, la superficie de ataque expuesta por las plataformas de IA es mayor de lo que parece. Todo un reto de seguridad y gobernanza que las empresas deben evaluar antes de lanzarse a la aventura.
(computerworld.es)
Les estaremos informando con mucho más detalle, en el marco del informe especial: “Ciberseguridad basada en AI, Ciberseguridad convencional, (Data centers, redes y dispositivos). Ciberseguridad multinube, Ciberseguridad en universo hiperconectado, Arquitecturas de Ciberseguridad basadas en AI», que estamos preparando para nuestra edición 217 y publicaremos en el mes de noviembre.
Mantente conectado a nuestra revista Channel News Perú, haciendo clic aquí y suscribiéndote a nuestro newsletter para contenido de valor diario.
