Эксперт по информационной безопасности Артур Папян на своей странице в Facebook объяснил, что делать, если вы получили уведомление от OpenAI об утечке данных.
Он подчеркнул, что основные системы OpenAI не были скомпрометированы, а пароли и история чатов остались в безопасности.
Инцидент произошёл через Mixpanel — поставщика веб-аналитики, который используется для интерфейса API OpenAI (platform[.]openai[.]com). Злоумышленники смогли получить ограниченные данные.
Что могло быть раскрыто:
- Имя и электронная почта (из API-аккаунта)
- Примерное местоположение (город, регион, страна)
Информация об ОС и браузере
- Что осталось в безопасности:
- Пароли, API-ключи, платёжные данные
История чатов, API-запросы и использование
Папян отметил, что в основном раскрыта информация, позволяющая установить личность и местоположение пользователя. По его словам, больше всего риску подвержены разработчики, поскольку обычные пользователи ChatGPT редко заходят на platform[.]openai[.]com.
Основная угроза — фишинг
По мнению Папяна, у злоумышленников теперь есть имена, адреса электронной почты и идентификаторы пользователей, что открывает путь к фишинговым и социально-инженерным атакам.
«Они могут подделывать письма от имени OpenAI с просьбой “подтвердить API-ключ” или “обновить платёжные данные” через поддельные сайты», — предупредил он.
Неотложные меры безопасности:
- Включите MFA/2FA на платформе OpenAI: если вы ещё не используете двухфакторную аутентификацию, сделайте это немедленно — это минимальная защита от фишинга.
- С осторожностью относитесь к письмам от имени OpenAI или ChatGPT в ближайшие месяцы. Любое письмо с просьбой перейти по ссылке, ввести личные данные или обновить информацию должно вызывать подозрение.
