Mixpanel数据泄露事件波及部分OpenAI API用户账户信息

数据分析服务商Mixpanel公司发生的安全漏洞已经泄露了部分OpenAI集团用户的账户信息。

ChatGPT开发商在周三披露了这一事件。

Mixpanel的同名分析平台使企业能够收集用户与其应用程序交互方式的数据。该软件跟踪客户留存率、运行时间和性能等指标。在发生漏洞时，OpenAI使用Mixpanel收集开发者与其应用程序编程接口交互的数据。

Mixpanel在11月8日发现了这一事件。该公司确定黑客使用SMS钓鱼消息入侵了其部分内部系统并获取了客户数据访问权限。OpenAI是受影响的客户之一。

Mixpanel在发现事件后不久即通知了ChatGPT开发商。周二，该分析提供商向OpenAI提供了黑客从其API平台访问的数据集副本。OpenAI随后开始通知信息出现在数据集中的用户。

ChatGPT开发商表示，黑客访问了一些API用户的姓名、电子邮件地址和位置信息。此次漏洞还泄露了某些技术数据，包括每个受影响客户用于访问OpenAI API的操作系统和浏览器信息。据该公司称，黑客没有访问客户付款详细信息或发送到其API的提示。

OpenAI在一篇博客文章中表示，客户无需重置密码或轮换加密密钥。然而，该公司警告说，黑客可能利用被盗信息发起钓鱼攻击。

作为对此次漏洞的回应，OpenAI已从其系统中移除了Mixpanel。未来，它将与该分析提供商和"其他合作伙伴"合作进一步调查这一事件。OpenAI还计划为供应商推出更严格的网络安全要求。

API测试和监控提供商APIContext公司首席执行官Mayur Upadhyaya表示："Mixpanel事件表明，即使是受信任的分析工具，如果没有持续验证，也可能无意中泄露敏感数据。在机器优先的世界中，你无法修复看不见的问题。可观察性必须扩展到每个API、网络钩子和第三方集成。"

目前尚不清楚除OpenAI外还有哪些其他Mixpanel客户受到此次漏洞影响。该分析提供商的网站显示其拥有超过29000个客户，包括众多主要科技公司。Mixpanel表示已经保护了受漏洞影响的账户，重置了员工密码并封锁了威胁行为者的IP地址。

到目前为止，涉及OpenAI等主要大语言模型提供商的数据泄露事件相对较少。然而，威胁行为者偶尔会使用这些模型发起黑客攻击活动。OpenAI及其竞争对手已经实施了旨在阻止此类网络攻击的防护措施。

Q&A

Q1：Mixpanel数据泄露事件是如何发生的？

A：黑客使用SMS钓鱼消息入侵了Mixpanel的部分内部系统并获取了客户数据访问权限。Mixpanel在11月8日发现了这一安全事件，并确定了攻击方式。

Q2：OpenAI用户的哪些信息被泄露了？

A：被泄露的信息包括部分API用户的姓名、电子邮件地址和位置信息，以及技术数据如操作系统和浏览器信息。但黑客没有访问客户付款详细信息或发送到API的提示内容。

Q3：用户需要采取什么措施来保护账户安全？

A：OpenAI表示用户无需重置密码或轮换加密密钥，但公司警告黑客可能利用被盗信息发起钓鱼攻击，因此用户应提高警惕防范相关网络钓鱼。