OpenAI a confirmé qu’un incident de sécurité chez Mixpanel a révélé des données analytiques limitées liées à certains de ses utilisateurs d’API. L’entreprise a déclaré qu’aucun de ses systèmes internes n’avait été compromis et que des informations sensibles telles que le contenu du chat, les clés API, les mots de passe, les détails de paiement et les documents d’identité gouvernementaux restaient sécurisés. OpenAI a déclaré avoir cessé d’utiliser Mixpanel pour l’analyse dès que l’entreprise a révélé la faille.
Mixpanel a rapporté qu’un attaquant avait obtenu un accès non autorisé à une partie de son infrastructure le 9 novembre. L’attaquant a exporté un jeu de données contenant des métadonnées provenant d’un sous-ensemble de comptes API OpenAI. Mixpanel a fourni le jeu de données à OpenAI le 25 novembre afin que l’entreprise puisse évaluer l’exposition. OpenAI a commencé à informer les utilisateurs concernés peu après avoir reçu ces informations.
Le jeu de données contenait des informations personnelles et liées aux appareils. Selon OpenAI, il comprenait des noms de comptes liés à des comptes API OpenAI, des adresses e-mail, des données géographiques approximatives telles que la ville, l’État et le pays, les informations sur les navigateurs et systèmes d’exploitation, les sites web référents, ainsi que les identifiants d’utilisateurs ou d’organisations. Les informations exposées ne comprenaient pas les chats, les identifiants d’authentification, les enregistrements de paiement, les sorties de modèles ou tout autre contenu sensible généralement associé aux produits OpenAI.
OpenAI a indiqué qu’elle coopérait avec Mixpanel et les régulateurs pour examiner les circonstances de la violation. Il a également souligné que les métadonnées exposées ne suffisent pas à accéder aux comptes API ou à tout service OpenAI. Cependant, les chercheurs en sécurité avertissent que les métadonnées peuvent encore aider les acteurs malveillants à élaborer des tentatives de phishing ou des campagnes d’usurpation d’identité. La combinaison de noms, d’adresses e-mail et d’informations sur les appareils peut permettre aux attaquants de créer des messages convaincants ciblant les utilisateurs concernés.
Les analystes de la sécurité notent que l’incident met en lumière les risques associés aux outils d’analyse tiers. Même lorsque les prestataires ne traitent pas de contenu sensible, les métadonnées qu’ils stockent peuvent toujours servir à profiler les utilisateurs. Cela peut exposer des individus ou des organisations à des attaques ciblées si les attaquants combinent ces informations avec des données publiques ou des documents précédemment divulgués. Ils soutiennent que les entreprises intégrant des outils externes devraient évaluer de près les pratiques de sécurité des fournisseurs et limiter la quantité d’informations identifiables partagées avec les fournisseurs d’analytique.
OpenAI a entamé un examen de ses relations avec les fournisseurs afin d’évaluer si des protections ou restrictions supplémentaires sont nécessaires. L’entreprise a déclaré qu’elle continuerait d’appliquer des normes plus strictes aux partenaires qui gèrent les données liées aux utilisateurs. OpenAI a exhorté les utilisateurs de l’API à rester prudents face aux messages inattendus demandant des identifiants. L’entreprise a réitéré qu’elle ne demanderait jamais de mots de passe ou de clés API par communication non sollicitée. Elle a également recommandé d’activer l’authentification multifacteur pour réduire le risque d’accès non autorisé.
Bien que la violation n’ait pas impliqué un accès direct aux systèmes OpenAI, cette exposition a suscité de nouvelles discussions sur la manière dont les entreprises gèrent les outils tiers. Les experts en cybersécurité soutiennent que cet incident montre l’importance de comprendre non seulement le contenu stocké par les fournisseurs, mais aussi la valeur des métadonnées associées. Ils notent que les métadonnées peuvent révéler des schémas concernant le comportement des utilisateurs, les tendances géographiques et les configurations système qui peuvent être utiles aux attaquants même si le contenu central reste protégé.
Alors qu’OpenAI poursuit ses enquêtes sur la faille, elle a déclaré qu’elle tiendrait ses clients informés si de nouvelles informations apparaissaient. Mixpanel a déclaré qu’il travaille à renforcer ses propres systèmes et coopère avec l’enquête plus large. L’impact à long terme de l’incident dépendra de la tentative des attaquants d’utiliser les métadonnées exposées dans le phishing ou d’autres campagnes ciblées. Pour l’instant, les chercheurs conseillent aux utilisateurs de surveiller les messages suspects et de profiter des outils d’authentification qui offrent des couches supplémentaires de protection.