Como te indicamos, hace escasos minutos hemos recibido un correo electrónico de OpenAI en el que explican que se ha producido un fallo de seguridad que ha puesto en riesgo datos de sus usuarios.

Una brecha externa

Lo primero que hace OpenAI en el correo electrónico es explicar que, para ellos, la transparencia es muy importante. Debido a esto, quieren detallar con pelos y señales todo lo que ha ocurrido en esta brecha de seguridad que podría afectarte.

Incidente en Mixpanel

OpenAI explica que el fallo de seguridad no se ha producido en sus servidores, aunque sí son datos de sus usuarios los que se han puesto en riesgo. La situación es exactamente la misma a la que se produjo semanas atrás con el banco ING.

Web-Mixpanel-herramienta-seguridad-OpenAI

Como muchos de los datos de los usuarios de OpenAI circulan en distintas empresas con las que la creadora de ChatGPT trabaja, existe riesgo de filtración. En este caso, quien ha sufrido el fallo ha sido Mixpanel, un proveedor que se especializa en análisis de datos web para su API.

Por lo tanto, el robo se ha producido dentro de Mixpanel, aunque esto no significa que debas estar tranquilo, ya que los datos se han filtrado de una u otra manera. El incidente se produjo el día 9 de noviembre y compartieron la información crítica con OpenAI el 25 de este mismo mes. Ahora OpenAI la pone a disposición de sus usuarios.

¿Qué se ha filtrado?

La buena noticia es que la filtración solo afecta a los usuarios que utilizan la API de OpenAI, la cual es conocida por estar disponible en la web platform.openai.com. Esto limita el incidente en gran medida. Lo más probable es que el grueso de los afectados sean desarrolladores que trabajan con la API u otros profesionales, lo que rebaja la seriedad de lo que ha pasado.

Dicho esto, los datos que se pueden haber filtrado son los siguientes:

  • Direcciones de correo electrónico que están vinculadas a las cuentas de la API de OpenAi.
  • El nombre de registro en las cuentas de la API.
  • El modelo de sistema operativo y el navegador que se utiliza para entrar en la API.
  • La localización aproximada donde se encuentra el usuario. Esto incluye tanto la ciudad, como la provincia y el país.
  • Las páginas web referidas.
  • Las IDs que estén vinculadas a la cuenta de la API, ya sean de usuario o de empresa.

OpenAI-Platform-pagina-inicio-web

¿Qué datos están seguros?

OpenAI quiere tranquilizar a la comunidad explicando con rapidez que hay ciertos datos que no se han puesto en riesgo y que están seguros.

La lista de todo lo que no se ha visto comprometido es la siguiente:

  • Conversaciones de los chats.
  • Peticiones de la API.
  • Datos de uso de la API.
  • Contraseñas y credenciales.
  • Claves de la API.
  • Detalles referentes al modo de pago
  • IDs del gobierno.

¿Cómo está actuando OpenAI?

En OpenAI han querido actuar con rapidez y de una manera contundente. Debido a ello, en el email que nos han enviado dicen que han eliminado a Mixpanel de sus servicios. Después de esto, han comenzado a investigar en todos los datos que se han filtrado para entender cuál ha sido la magnitud de lo sucedido.

Ahora están trabajando con Mixpanel con el objetivo de tener más claridad sobre las consecuencias que puede tener esta brecha de seguridad. También dicen que están poniéndose en contacto con todas las empresas afectadas, con los usuarios y con administradores.

Revisión de todos los sistemas

Además, han dicho que están realizando comprobaciones en todos los sistemas y asegurándose de que no se produce ninguna otra filtración. Esta brecha en Mixpanel es un toque de atención para que refuercen la seguridad a nivel global y que así no se produzca ningún otro incidente.

OpenAI-correo-brecha-seguridad-informacion

Para evitar mayores incidentes, están trabajando con todos sus proveedores para revisar sus sistemas de seguridad y garantizar que no pasará nada parecido.

¿Qué riesgos existen para los usuarios?

Tal y como OpenAI explica, los hackers que se hayan hecho con esta información, posiblemente, la querrán utilizar para realizar intentos de phishing. También creen que se podrían sufrir ataques de ingeniería social y piden a los afectados que abran bien los ojos para evitar problemas.

Donde piden que se ponga especial atención es en lo siguiente:

  • Recepción de correos electrónicos inesperados que incluyan enlaces o adjuntos sospechosos.
  • Llegada de mensajes en los que se identifiquen como OpenAI. Piden que, para evitar sustos, revisemos las cuentas de correo de los remitentes.
  • Recordar que OpenAI nunca pedirá contraseñas, claves de API o ningún tipo de código de verificación.
  • Activar la identificación multifactor para evitar problemas.

Este incidente pone de nuevo el punto de mira sobre el phishing en un momento en el que cada vez es un tema de conversación más habitual. A todos los usuarios, ya se hayan visto afectados o no por esta brecha de seguridad, se les recomienda tener precaución extra.

 

Fuente: OpenAI | adslzone