A OpenAI, empresa por trás do ChatGPT, confirmou que houve uma violação de segurança no seu provedor de análises Mixpanel no início deste mês e que expôs dados, como e-mail e localização, de alguns usuários. O incidente, ratificado pela empresa na quarta-feira (26), causa agora preocupações com cibercriminosos que podem usar as informações roubadas em tentativas de phishing direcionadas.
Segundo o Mixpanel, em 8 de novembro, um invasor obteve acesso a parte de seus sistemas e exportou um conjunto de dados contendo metadados e informações analíticas que identificavam os clientes. Os dados roubados incluíam nomes de usuário, endereços de e-mail, localização aproximada com base no navegador, sistema operacional e detalhes do navegador.
A OpenAI afirmou que a violação não incluiu prompts dos usuários, chaves de API, informações de pagamento ou tokens de autenticação.
A OpenAI afirmou que apenas os dados vazados foram de usuários que acessaram a tecnologia por meio da API — ou seja, por meio de aplicativos externos que utilizam o GPT. Em outras palavras, se você acessar o chatbot ChatGPT diretamente do site da OpenAI, não será afetado.
“Como parte de nossa investigação de segurança, removemos o Mixpanel de nossos serviços de produção, revisamos os conjuntos de dados afetados e estamos trabalhando em estreita colaboração para entender completamente o incidente e seu alcance”, disse a OpenAI em um comunicado.
Fundada em 2009, a Mixpanel, com sede em São Francisco, Califórnia, EUA, é uma plataforma de análise de produtos usada para rastrear o comportamento do usuário em aplicativos web e móveis. A empresa afirmou ter detectado a campanha de “smishing” e, após uma investigação inicial e resposta, alertou a OpenAI no dia seguinte.
“Estamos comprometidos com a transparência e estamos notificando todos os clientes e usuários afetados”, disse a OpenAI. “Também responsabilizamos nossos parceiros e fornecedores pelo mais alto padrão de segurança e privacidade de seus serviços.”
Smishing é um tipo de ataque de phishing realizado por meio de mensagens SMS. De acordo com um relatório recente da empresa de gerenciamento de infraestrutura Spacelift, esse tipo de ação representou 39% de todas as ameaças móveis em 2024.
A Mixpanel afirmou ter protegido as contas afetadas, revogado as sessões ativas, substituído as credenciais comprometidas e bloqueado endereços IP maliciosos. A empresa também redefiniu as senhas dos funcionários, contratou empresas externas de segurança cibernética e revisou os registros de autenticação, sessão e exportação.
Após a violação de segurança, a Mixpanel afirmou que começou a notificar os clientes afetados sobre o incidente.
“Se você não recebeu nenhuma comunicação direta nossa, significa que não foi afetado”, afirmou Jen Taylor, CEO da Mixpanel, em comunicado. “Continuamos priorizando a segurança como um princípio fundamental da nossa empresa, produtos e serviços. Estamos comprometidos em apoiar nossos clientes e em comunicar de forma transparente sobre este incidente.”
Apesar de a Mixpanel ter relatado o incidente à OpenAI, a desenvolvedora do ChatGPT afirmou que estava encerrando sua parceria com a empresa de análise de dados. “Após analisar o incidente, a OpenAI encerrou seu uso da Mixpanel”, escreveram.
Alguns clientes da OpenAI recorreram às redes sociais para expressar sua frustração com a revelação de que um serviço terceirizado teve acesso às suas informações.
“Não estou nada contente com isso. […] Por que tiveram que passar meu nome e endereço de e-mail para o Mixpanel?”, escreveu um usuário no X. “Sou apenas um amador tentando fazer pequenos experimentos.”
“O fato da OpenAI enviar nomes e endereços de e-mail para uma plataforma de análise de terceiros (Mixpanel) parece extremamente irresponsável”, escreveu outro usuário .
A OpenAI e a Mixpanel não responderam imediatamente aos pedidos de comentários do Decrypt.
* Traduzido e editado com autorização do Decrypt.
Já pensou em aproveitar a Black Friday para ter mais rentabilidade e ainda acumular pontos Livelo para usar como quiser? Invista na Invest Friday do MB e ganhe até 20 mil pontos. Abra sua conta e aproveite!
