OpenAI confirma una violación de datos: averigua si has sido afectado

Source: PortaldoBitcoin Título original: OpenAI, dueña de ChatGPT, confirma violación de datos — averigua si has sido afectado Enlace original: https://portaldobitcoin.uol.com.br/openai-dona-do-chatgpt-confirma-violacao-de-dados-saiba-se-voce-foi-afetado/ OpenAI, la empresa detrás de ChatGPT, confirmó que hubo una violación de seguridad en su proveedor de análisis Mixpanel a principios de este mes y que expuso datos, como correos electrónicos y ubicaciones, de algunos usuarios. El incidente, ratificado por la empresa el miércoles (26), ahora genera preocupaciones sobre cibercriminales que podrían utilizar la información robada en intentos de phishing dirigidos.

Según Mixpanel, el 8 de noviembre, un intruso obtuvo acceso a parte de sus sistemas y exportó un conjunto de datos que contenía metadatos e información analítica que identificaba a los clientes. Los datos robados incluían nombres de usuario, direcciones de correo electrónico, ubicación aproximada basada en el navegador, sistema operativo y detalles del navegador.

OpenAI afirmó que la violación no incluyó prompts de los usuarios, claves de API, información de pago o tokens de autenticación.

OpenAI afirmó que solo los datos filtrados fueron de usuarios que accedieron a la tecnología a través de la API — es decir, a través de aplicaciones externas que utilizan el GPT. En otras palabras, si accedes al chatbot ChatGPT directamente desde el sitio de OpenAI, no te verás afectado.

“Como parte de nuestra investigación de seguridad, hemos eliminado Mixpanel de nuestros servicios de producción, revisado los conjuntos de datos afectados y estamos trabajando en estrecha colaboración para entender completamente el incidente y su alcance”, dijo OpenAI en un comunicado.

Fundada en 2009, Mixpanel, con sede en San Francisco, California, EE. UU., es una plataforma de análisis de productos utilizada para rastrear el comportamiento del usuario en aplicaciones web y móviles. La empresa afirmó haber detectado la campaña de “smishing” y, tras una investigación inicial y respuesta, alertó a OpenAI al día siguiente.

“Estamos comprometidos con la transparencia y estamos notificando a todos los clientes y usuarios afectados”, dijo OpenAI. “También responsabilizamos a nuestros socios y proveedores por el más alto estándar de seguridad y privacidad de sus servicios.”

Smishing es un tipo de ataque de phishing realizado a través de mensajes SMS. Según informes recientes, este tipo de acción representó el 39% de todas las amenazas móviles en 2024.

Mixpanel afirmó haber protegido las cuentas afectadas, revocado las sesiones activas, reemplazado las credenciales comprometidas y bloqueado direcciones IP maliciosas. La empresa también restableció las contraseñas de los empleados, contrató empresas externas de seguridad cibernética y revisó los registros de autenticación, sesión y exportación.

Tras la violación de seguridad, Mixpanel afirmó que comenzó a notificar a los clientes afectados sobre el incidente.

“Si no has recibido ninguna comunicación directa de Mixpanel, significa que no has sido afectado”, afirmó Jen Taylor, CEO de Mixpanel, en un comunicado. “Seguimos priorizando la seguridad como un principio fundamental de nuestra empresa, productos y servicios. Estamos comprometidos a apoyar a nuestros clientes y a comunicarnos de manera transparente sobre este incidente.”

A pesar de que Mixpanel informó del incidente a OpenAI, la desarrolladora de ChatGPT afirmó que estaba terminando su asociación con la empresa de análisis de datos. “Después de analizar el incidente, OpenAI terminó su uso de Mixpanel”, escribieron.

Algunos clientes de OpenAI recurrieron a las redes sociales para expresar su frustración con la revelación de que un servicio externo tuvo acceso a su información.

“No estoy nada contento con eso. ¿Por qué tuvieron que pasar mi nombre y dirección de correo electrónico a Mixpanel?”, escribió un usuario. “Soy solo un aficionado tratando de hacer pequeños experimentos.”

“El hecho de que OpenAI envíe nombres y direcciones de correo electrónico a una plataforma de análisis de terceros (Mixpanel) parece extremadamente irresponsable”, escribió otro usuario.