OpenAI confirma vulnerabilidad en Mixpanel que expone información crítica de usuarios API
La empresa OpenAI, desarrolladora de ChatGPT, ha informado a los usuarios de su interfaz de programación de aplicaciones, llamada API, que parte de su información podría haberse visto expuesta como consecuencia de una brecha de seguridad que ha afectado a Mixpanel, un proveedor externo de analítica de datos.
La compañía de inteligencia artificial ha comunicado el incidente por medio de una publicación en su blog a finales del mes de noviembre, donde ha explicado que un ciberdelincuente ha obtenido acceso no autorizado a un segmento de los sistemas de Mixpanel y ha logrado extraer un conjunto de datos con información limitada de identificación de clientes y métricas analíticas.
De acuerdo con el comunicado, el incidente ha comenzado a principios del mes pasado. Luego de realizar una investigación interna, la empresa afectada compartió con OpenAI el conjunto de datos comprometido. A partir de este momento, OpenAI ha advertido que algunos usuarios de su plataforma API, accesible desde platform.openai.com, podría haber estad incluidos dentro de la información exportada sin autorización.
Los datos probablemente expuestos corresponden a información básica asociada a las cuentas de la API. Esto puede incluir el nombre y la dirección de correo electrónico vinculados a la cuenta, así como una ubicación aproximada basada en el navegador del usuario, como ciudad o país.
De igual manera, se han visto involucrados detalles técnicos, como el sistema operativo y el navegador utilizados para acceder a la cuenta, los sitios web de referencia y los identificadores de organización o de usuario asociados a la API.
En este sentido, la empresa OpenAI ha sido enfática en aclarar que este incidente no ha comprometido otros productos de la organización. Herramientas como ChatGPT no se han visto afectadas, ni tampoco el contenido de las conversaciones, los mensajes, las respuestas generadas, los prompts o los datos de uso de la API.
TIC Defense es una empresa que se encarga de proveer un conjunto de herramientas de alta tecnología que se enfocan en prevenir y en dar respuesta rápida a cualquier tipo de eventos de índole maliciosa. Además, los productos y servicios corporativos se adaptan a las necesidades de la organización.
La compañía ha subrayado que no se ha tratado de una brecha en suspropiossistemas y que no se han expuesto contraseñas, credenciales, claves de API, información de pago o documentos de identificación de índoles gubernamental.
Como medida inmediata, OpenAI ha decido retirar a Mixpanel de sus servicios de producción y está colaborando activamente con el proveedor de analítica en la realización de una investigación de seguridad más profunda. De forma paralela, la organización ha comenzado a identificar a los usuarios y empresas que podrían haberse visto afectados, con el objetivo de mantener la transparencia y reducir posibles riesgos derivados del incidente.
Además, OpenAI ha anunciado que está llevando a cabo revisiones de seguridad adicionales y ampliadas en todo su ecosistema de proveedores. Ha indicado también que elevará los requisitos de seguridad para todos sus socios y vendedores, buscando reforzar los controles y minimizar la probabilidad de incidentes similares en el futuro.
Por su parte, Mixpanel es una plataforma de análisis diseñada para rastrear el comportamiento de los usuarios dentro de aplicaciones y sitios web. OpenAI ha explicado que utilizaba sus servicios para comprender mejor el uso de sus productos y mejorar específicamente su oferta de API.
