Տեղեկատվական անվտանգության մասնագետ Արթուր Պապյանը ֆեյսբուքյան իր էջում ներկայացրել է, թե ինչ պետք է անել, եթե ստացել եք OpenAI-ից ծանուցում տվյալների արտահոսքի մասին։
«Նախևառաջ, շատ կարևոր է հասկանալ՝ OpenAI-ի հիմնական համակարգերը չեն վտանգվել։ Ամենակարևորը՝ Ձեր գաղտնաբառերը և ChatGPT-ի հետ Ձեր զրույցների պատմությունը չի բացահայտվել։
Միջադեպը տեղի է ունեցել Mixpanel-ի՝ OpenAI-ի API պրոդուկտի (platform[.]openai[.]com) ինտերֆեյսի համար օգտագործվող վեբ անալիտիկայի մատակարարի մոտ, ինչի հետևանքով հարձակվողը որոշ տվյալներ կարողացել է հավաքել։
Ինչը կարող է բացահայտվել
Անուն և Էլ. հասցե (API հաշվից)
Մոտավոր gտնվելու վայր (քաղաք, մարզ, երկիր)
Օպերացիոն hամակարգ և բրաուզերի տվյալներ
Ինչն է մնացել անվտանգ
- Գաղտնաբառեր, API բանալիներ, Վճարային Տվյալներ
- Չաթի պատմություն, API հարցումներ/օգտագործում
Այսինքն հիմնականում բացահայտվել է տեղեկատվություն, որը թույլ է տալիս իմանալ, թե ով եք դուք և որտեղից եք մուտք գործել API պլատֆորմ։ Ենթադրում եմ, որ ավելի շատ ռիսկի տակ են հայտնվել ծրագրավորողները, քանի որ ChatGPT–ի սովորական օգտատերերը գրեթե երբեք մուտք չեն գործում platform[.]openai[.]com։
Ամենամեծ սպառնալիքը ֆիշինգն է
Քանի որ հարձակվողներն այժմ ունեն անուններ, էլ. հասցեներ և OpenAI-ի հետ կապի ապացույց (օրինակ՝ Ձեր User ID-ն), ամենամեծ անմիջական ռիսկը ֆիշինգն ու սոցիալական ինժեներիան են:
- Հարձակվողը կարող է կեղծել OpenAI-ից եկած հաղորդագրություն՝ օգտագործելով Ձեր անունը, որպեսզի այն ավելի «իրական» թվա։ Նրանք կարող են պնդել, թե անհրաժեշտ է «հաստատել Ձեր API բանալին» կամ «թարմացնել Ձեր վճարային տվյալները» մի կայքում, որը կրկնօրինակում է OpenAI-ը։
Իմ անհետաձգելի անվտանգության խորհուրդը
Միացրեք MFA/2FA ChatGPT/OpenAI հարթակում․ եթե դեռ չեք օգտագործում Multi-Factor Authentication (MFA) Ձեր API հաշվի վրա, անհապաղ միացրեք այն։ Սա նվազագույն պաշտպանությունն է, որը կանխում է հաշվի գրավումը նույնիսկ գաղտնաբառի արտահոսքի դեպքում և կարող է կասեցնել ֆիշինգային հարձակումների որոշ տեսակներ։
Կասկածով վերաբերվեք առաջիկա ամիսներին OpenAI/ChatGPT–ի անունից ստացվող նամակների էլփոստին։ Ցանկացած նամակ, որը խնդրում է Ձեզ սեղմել հղում և անցնել կայք, մուտքագրել զգայուն տվյալներ, թարմացնել գաղտնաբառը կամ քարտային տվյալները՝ պետք է դիտարկել որպես կասկածելի»,-ասվում է գրառման մեջ։
