OpenAI ha precisato che gli utenti di ChatGPT e degli altri suoi servizi non sono stati coinvolti e che non sono state compromesse nemmeno le chat, i prompt, i dati sull’utilizzo delle Api, le password, le credenziali, i dettagli di pagamento o i documenti d’identità. Stando a quanto riportato dall’azienda, tra le informazioni esposte possono rientrare:
- Il nome fornito tramite l’account Api;
- L’indirizzo email associato al profilo;
- La posizione geografica approssimativa ricavata dal browser (città, stato e paese);
- Il sistema operativo e il browser utilizzati per accedere all’Api di OpenAI;
- Le url di provenienza;
- Gli id di utenti o organizzazioni associati agli account Api.
Attenzione ai tentativi di phishing
OpenAI avverte che le informazioni esposte nell’incidente potrebbero essere utilizzate per attacchi di phishing o di ingegneria sociale (social engineering). Per questo motivo la società consiglia agli utenti potenzialmente interessati di prestare particolare attenzione a email o messaggi sospetti, soprattutto se contengono link o allegati apparentemente inviati dalla stessa azienda.
La società ha ricordato anche che non chiede mai password, chiavi Api né codici di verifica via email, sms o chat: qualsiasi richiesta di questo tipo deve quindi essere considerata sospetta. Per rafforzare la sicurezza in fase di accesso all’account, inoltre, consiglia di attivare l’autenticazione a più fattori.
OpenAI ha annunciato di aver interrotto la collaborazione con Mixpanel a seguito dell’incidente. “Nell’ambito della nostra indagine di sicurezza, abbiamo eliminato Mixpanel dai nostri servizi. […] Anche se non abbiamo rilevato prove di impatti su sistemi o dati al di fuori dell’ambiente Mixpanel, continuiamo a monitorare da vicino qualsiasi possibile uso improprio. […] Stiamo inoltre effettuando verifiche di sicurezza aggiuntive e ampliate su tutto il nostro ecosistema di fornitori e innalzando i requisiti di sicurezza per tutti i partner”, si legge nel comunicato dell’azienda.
Non è la prima volta che la sicurezza di OpenAI viene compromessa. Nel 2023, l’azienda aveva confermato che i server di ChatGPT avevano subito interruzioni a causa di un attacco Ddos. Sebbene in entrambi i casi i dati più sensibili degli utenti non sono stati esposti, gli incidenti sollevano dubbi sull’efficacia delle misure di protezione dell’azienda, i cui servizi gestiscono una significativa quantità di informazioni sensibili appartenenti a milioni tra utenti, organizzazioni ed enti governativi.
Questo articolo è apparso originariamente su Wired en Español.
