Bij ChatGPT-ontwikkelaar Open AI is een grote hoeveelheid accountgegevens buitgemaakt via een lek bij een externe partner. OpenAI heeft een aantal gebruikers daarover ingelicht.
Niet de systemen van OpenAI zelf werden getroffen, maar wel die van Mixpanel, een populaire tool voor webanalyse die OpenAI gebruikt voor zijn API-omgeving. Dat laat de ChatGPT-ontwikkelaar weten. Volgens OpenAI gaat het om “beperkte analytics-data”, maar in de praktijk bevat dat toch behoorlijk gevoelige informatie.
Bij de getroffen API-accounts zijn onder meer gegevens buitgemaakt als de namen die aan de accounts gekoppeld waren, net als de e-mailadressen en een ruwe locatie van die gebruikers op basis van hun IP-adres. Ook info over het gebruikte besturingssysteem, browser, organisatie- en gebruikers-ID’s zijn op straat beland.
Chatinhoud, API-verkeer, wachtwoorden, API-sleutels, betaalgegevens of identiteitsdocumenten zijn volgens OpenAI niet geraakt. Gebruikers van ChatGPT zelf zouden dus buiten schot blijven.
Mixpanel ontdekte op 9 november dat een aanvaller toegang had gekregen tot een deel van zijn infrastructuur en daarin gegevens had geëxporteerd. Op 25 november kreeg OpenAI te zien welke dataset precies was buitgemaakt. Het bedrijf benadrukt dat het hier dus niet om een inbraak in de eigen systemen gaat, maar om een lek bij de externe partner.
Uit voorzorg heeft OpenAI meteen alle koppelingen met Mixpanel stopgezet. Getroffen gebruikeers kregen een e-mail met meer uitleg en de raad om extra waakzaam te zijn voor phishingmails of andere vormen van misleiding waarbij hun gelekte accountinformatie kan worden misbruikt.
Voor OpenAI komt het incident op een lastig moment. De organisatie beheert (vaak zonder dat mensen daar echt bij stilstaan) gigantische hoeveelheden persoonlijke data van miljoenen gebruikers. Denk aan accountinfo, maar ook aan gevoelige vragen en privégesprekken die in ChatGPT worden ingegeven. Dat niets daarvan is uitgelekt, stelt enigszins gerust, maar het incident toont opnieuw hoe fragiel de dataketen kan zijn zodra er externe partijen bij betrokken zijn.
De snelle communicatie naar gebruikers is een pluspunt, maar het blijft natuurlijk beter als het helemaal niet zover komt. Zeker nu bedrijven en overheden almaar kritischer kijken naar hoe AI-spelers met data omgaan, kan OpenAI een reputatiedeuk missen als kiespijn. OpenAI vraagt gebruikers om op te letten voor verdachte e-mails die inspelen op hun accountgegevens. Daarnaast blijft hetzelfde advies gelden dat in zowat elk datalek terugkomt: zet waar mogelijk tweestapsverificatie aan en gebruik sterke, unieke wachtwoorden. Ze voorkomen geen datalek, maar beperken wél de schade als je informatie op straat belandt.
Schrijf je in op onze nieuwsbrief en ontvang elke week het beste van Clickx in je mailbox.
Volg Clickx op Google Nieuws om onze nieuwste artikels in je feed te krijgen. Vergeet niet om op ‘Volgen’ te klikken.
Krijg Clickx magazine 10 keer per jaar (waarvan 2 extra dikke dubbelnummers) keurig thuisbezorgd.
