OpenAI bestätigt einen Sicherheitsvorfall mit dem externen Analyseanbieter Mixpanel. Der Fall betrifft einen Dienst eines Drittanbieters.
Der ChatGPT-Hersteller OpenAI hat einen Sicherheitsvorfall bestätigt und betont, er sei nicht durch OpenAI verursacht.
Die Datenpanne betrifft den externen Analyse-Dienstleister Mixpanel. Dort wurden begrenzte Nutzerdaten aus der API-Plattform offengelegt.
„Dies war kein Einbruch in die Systeme von OpenAI. Es wurden keine Chats, keine API-Anfragen und keine API-Nutzungsdaten offengelegt. Auch Passwörter, Zugangsdaten, API-Schlüssel, Zahlungsinformationen oder staatliche Ausweisdokumente waren nicht betroffen“, teilte das Unternehmen in einer E-Mail an Nutzerinnen und Nutzer am Donnerstag mit.
Laut OpenAI wurde Mixpanel am neunten November auf einen Angreifer aufmerksam.
Der Täter verschaffte sich unbefugten Zugang zu Teilen der Mixpanel-Systeme und exportierte einen Datensatz mit begrenzten, kundenbezogenen Identifikatoren und Analysedaten.
Betroffen sein konnten nach Angaben von OpenAI Namen, E-Mail-Adressen und Nutzerkennungen.
OpenAI hat die Nutzung von Mixpanel beendet. Das Unternehmen bekräftigt, dass der Vorfall nicht auf Schwachstellen in den eigenen Systemen beruht.
Was bedeutet das für Ihre Daten?
OpenAI untersucht den Vorfall. Nutzerinnen und Nutzer sollen besonders wachsam gegenüber Phishing-Angriffen und Social-Engineering-Betrugsmaschen sein, die die gestohlenen Daten ausnutzen könnten.
Das Unternehmen empfiehlt, die Mehrfaktor-Authentifizierung als zusätzlichen Schutz zu aktivieren.
Auch wenn keine Gespräche mit ChatGPT offengelegt wurden, erinnert der Vorfall daran, wie viele persönliche Daten OpenAI erhält, wenn Menschen Chatbots sehr private Inhalte anvertrauen.
OpenAI will für alle externen Partner strengere Sicherheitsanforderungen durchsetzen.
Die Nutzung von Mixpanel-Analysen durch OpenAI ist branchenüblich. OpenAI ließ über Mixpanel jedoch Daten wie E-Mail-Adressen und Standort erfassen, die für die Produktverbesserung nicht nötig waren, sagte Moshe Siman Tov Bustan, Teamleiter der Sicherheitsforschung bei OX Security, einem KI-Sicherheitsunternehmen. Das könnte gegen das DSGVO-Prinzip der Datensparsamkeit verstoßen.
„Unternehmen, von Tech-Giganten wie OpenAI bis hin zu Ein-Personen-Start-ups, sollten Kundendaten, die an Drittanbieter gehen, stets besonders schützen und anonymisieren. So lässt sich verhindern, dass solche Informationen gestohlen oder kompromittiert werden“, sagte er Euronews Next.
„Auch bei seriösen, geprüften Anbietern schafft jedes nach außen gegebene identifizierbare Datum einen weiteren potenziellen Angriffspunkt“.