数据分析服务商Mixpanel公司发生的安全漏洞已经泄露了部分OpenAI集团用户的账户信息。
ChatGPT开发商在周三披露了这一事件。
Mixpanel的同名分析平台使企业能够收集用户与其应用程序交互方式的数据。该软件跟踪客户留存率、运行时间和性能等指标。在发生漏洞时,OpenAI使用Mixpanel收集开发者与其应用程序编程接口交互的数据。
Mixpanel在11月8日发现了这一事件。该公司确定黑客使用SMS钓鱼消息入侵了其部分内部系统并获取了客户数据访问权限。OpenAI是受影响的客户之一。
Mixpanel在发现事件后不久即通知了ChatGPT开发商。周二,该分析提供商向OpenAI提供了黑客从其API平台访问的数据集副本。OpenAI随后开始通知信息出现在数据集中的用户。
ChatGPT开发商表示,黑客访问了一些API用户的姓名、电子邮件地址和位置信息。此次漏洞还泄露了某些技术数据,包括每个受影响客户用于访问OpenAI API的操作系统和浏览器信息。据该公司称,黑客没有访问客户付款详细信息或发送到其API的提示。
OpenAI在一篇博客文章中表示,客户无需重置密码或轮换加密密钥。然而,该公司警告说,黑客可能利用被盗信息发起钓鱼攻击。
作为对此次漏洞的回应,OpenAI已从其系统中移除了Mixpanel。未来,它将与该分析提供商和"其他合作伙伴"合作进一步调查这一事件。OpenAI还计划为供应商推出更严格的网络安全要求。
API测试和监控提供商APIContext公司首席执行官Mayur Upadhyaya表示:"Mixpanel事件表明,即使是受信任的分析工具,如果没有持续验证,也可能无意中泄露敏感数据。在机器优先的世界中,你无法修复看不见的问题。可观察性必须扩展到每个API、网络钩子和第三方集成。"
目前尚不清楚除OpenAI外还有哪些其他Mixpanel客户受到此次漏洞影响。该分析提供商的网站显示其拥有超过29000个客户,包括众多主要科技公司。Mixpanel表示已经保护了受漏洞影响的账户,重置了员工密码并封锁了威胁行为者的IP地址。
到目前为止,涉及OpenAI等主要大语言模型提供商的数据泄露事件相对较少。然而,威胁行为者偶尔会使用这些模型发起黑客攻击活动。OpenAI及其竞争对手已经实施了旨在阻止此类网络攻击的防护措施。
Q&A
Q1:Mixpanel数据泄露事件是如何发生的?
A:黑客使用SMS钓鱼消息入侵了Mixpanel的部分内部系统并获取了客户数据访问权限。Mixpanel在11月8日发现了这一安全事件,并确定了攻击方式。
Q2:OpenAI用户的哪些信息被泄露了?
A:被泄露的信息包括部分API用户的姓名、电子邮件地址和位置信息,以及技术数据如操作系统和浏览器信息。但黑客没有访问客户付款详细信息或发送到API的提示内容。
Q3:用户需要采取什么措施来保护账户安全?
A:OpenAI表示用户无需重置密码或轮换加密密钥,但公司警告黑客可能利用被盗信息发起钓鱼攻击,因此用户应提高警惕防范相关网络钓鱼。
好文章,需要你的鼓励
美国最高法院以6比3的投票结果,裁定手机位置信息受第四修正案隐私权保护。法院认为,用户在使用谷歌等科技公司服务时,并非主动共享位置数据,因此执法机构在申请地理围栏搜查令时,必须证明存在"合理犯罪嫌疑"并获得法院批准。此裁决虽未完全禁止地理围栏搜查令,但对其使用范围加以限制,对美国执法实践及隐私保护具有深远影响。
南加州大学团队发现语音抑郁检测领域存在数据漏洞,并提出CLeaD跨语言对比对齐框架,揭示模型规模越大跨语言性能越差的反直觉规律。
佛罗里达州男子Angelo Martino以网络安全公司勒索软件谈判员身份为掩护,与黑客合谋部署BlackCat勒索软件攻击美国企业,被判处逾五年有期徒刑。美国司法部同时没收其逾1000万美元加密货币及资产。Martino与Kevin Martin、Ryan Goldberg三人于2023年联手实施多起攻击,其中一次成功勒索约120万美元后三人平分。BlackCat曾于2024年2月入侵医疗巨头Change Healthcare,导致逾1.92亿人敏感数据外泄。
KAIST等机构提出3D HAMSTER,通过为视觉语言模型加入深度编码器和几何重建损失,让机器人规划器直接输出三维轨迹,解决了分层机器人系统中规划与执行的维度不匹配问题,显著提升了操作鲁棒性。