OpenAI confirme une violation de données — découvrez si vous avez été affecté

Source : PortaldoBitcoin Titre original : OpenAI, propriétaire de ChatGPT, confirme une violation de données — découvrez si vous avez été affecté Lien original : https://portaldobitcoin.uol.com.br/openai-dona-do-chatgpt-confirma-violacao-de-dados-saiba-se-voce-foi-afetado/ OpenAI, l'entreprise derrière ChatGPT, a confirmé qu'il y a eu une violation de sécurité chez son fournisseur d'analyses Mixpanel au début de ce mois, exposant des données telles que des e-mails et des localisations de certains utilisateurs. L'incident, confirmé par l'entreprise mercredi (26), suscite désormais des inquiétudes quant aux cybercriminels qui pourraient utiliser les informations volées dans des tentatives de phishing ciblées.

Selon Mixpanel, le 8 novembre, un intrus a eu accès à une partie de ses systèmes et a exporté un ensemble de données contenant des métadonnées et des informations analytiques identifiant les clients. Les données volées comprenaient des noms d'utilisateur, des adresses e-mail, une localisation approximative basée sur le navigateur, le système d'exploitation et des détails du navigateur.

OpenAI a déclaré que la violation n'incluait pas les invites des utilisateurs, les clés API, les informations de paiement ou les jetons d'authentification.

OpenAI a déclaré que seules les données divulguées provenaient d'utilisateurs ayant accédé à la technologie via l'API — c'est-à-dire via des applications externes utilisant le GPT. En d'autres termes, si vous accédez au chatbot ChatGPT directement depuis le site d'OpenAI, vous ne serez pas affecté.

“Dans le cadre de notre enquête de sécurité, nous avons retiré Mixpanel de nos services de production, avons examiné les ensembles de données concernés et travaillons en étroite collaboration pour comprendre pleinement l'incident et son ampleur”, a déclaré OpenAI dans un communiqué.

Fondée en 2009, Mixpanel, dont le siège est à San Francisco, Californie, États-Unis, est une plateforme d'analyse de produits utilisée pour suivre le comportement des utilisateurs sur des applications web et mobiles. La société a affirmé avoir détecté la campagne de “smishing” et, après une enquête initiale et une réponse, a alerté OpenAI le lendemain.

“Nous sommes engagés envers la transparence et nous informons tous les clients et utilisateurs concernés”, a déclaré OpenAI. “Nous tenons également nos partenaires et fournisseurs responsables du plus haut niveau de sécurité et de confidentialité de leurs services.”

Le smishing est un type de cyberattaque de phishing réalisée par le biais de messages SMS. Selon des rapports récents, ce type d'action représentait 39 % de toutes les menaces mobiles en 2024.

Mixpanel a déclaré avoir protégé les comptes affectés, révoqué les sessions actives, remplacé les identifiants compromis et bloqué les adresses IP malveillantes. L'entreprise a également réinitialisé les mots de passe des employés, engagé des entreprises externes de cybersécurité et examiné les journaux d'authentification, de session et d'exportation.

Après la violation de sécurité, Mixpanel a déclaré avoir commencé à notifier les clients concernés par l'incident.

“Si vous n'avez reçu aucune communication directe de Mixpanel, cela signifie que vous n'avez pas été affecté”, a déclaré Jen Taylor, CEO de Mixpanel, dans un communiqué. “Nous continuons à donner la priorité à la sécurité comme principe fondamental de notre entreprise, de nos produits et de nos services. Nous nous engageons à soutenir nos clients et à communiquer de manière transparente sur cet incident.”

Bien que Mixpanel ait signalé l'incident à OpenAI, la développeuse de ChatGPT a déclaré qu'elle mettrait fin à son partenariat avec l'entreprise d'analyse de données. “Après avoir analysé l'incident, OpenAI a cessé d'utiliser Mixpanel”, ont écrit.

Certains clients d'OpenAI se sont tournés vers les réseaux sociaux pour exprimer leur frustration face à la révélation qu'un service tiers avait eu accès à leurs informations.

“Je ne suis pas du tout content de ça. Pourquoi ont-ils dû transmettre mon nom et mon adresse e-mail à Mixpanel ?”, a écrit un utilisateur. “Je ne suis qu'un amateur essayant de faire de petites expériences.”

“Le fait qu'OpenAI envoie des noms et des adresses e-mail à une plateforme d'analyse tierce (Mixpanel) semble extrêmement irresponsable”, a écrit un autre utilisateur.