Mixpanel met en garde contre les attaques de phishing après que des criminels volent les adresses e-mail et les identifiants d’organisation de certains profils clients.
OpenAI a subi une violation de données importante après que des pirates informatiques se sont introduits dans les systèmes de son partenaire d’analyse Mixpanel et ont réussi à voler des informations de profil client pour son portail API, ont déclaré les sociétés dans des déclarations coordonnées.
Selon un article de Jen Taylor, PDG de Mixpanel, l’incident a eu lieu le 8 novembre lorsque la société « a détecté une campagne de smishing et a rapidement exécuté nos processus de réponse aux incidents ».
Le smishing est une forme de phishing par SMS contre des employés ciblés, populaire auprès des pirates informatiques car les messages texte contournent les contrôles normaux de l’entreprise. Cela a permis aux attaquants d’accéder au système de Mixpanel, leur permettant de voler une série de métadonnées relatives aux profils de compte platform.openai.com :
- Nom fourni à OpenAI sur le compte API
- Adresse email associée au compte API
- Emplacement approximatif basé sur le navigateur de l’utilisateur de l’API (ville, état, pays)
- Système d’exploitation et navigateur utilisés pour accéder au compte API
- Sites référents
- ID d’organisation ou d’utilisateur associés au compte API
« Nous avons communiqué de manière proactive avec tous les clients concernés. Si vous n’avez pas eu de nouvelles directement de notre part, vous n’avez pas été concerné », a déclaré Taylor.
Selon un autre article d’OpenAI, Mixpanel a partagé avec lui l’ensemble de données client concerné le 25 novembre. Après examen, OpenAI a mis fin à son utilisation de Mixpanel, ce qui implique que cela pourrait être permanent.
L’incident affecte certains clients disposant de comptes platform.openai.com, mais pas les utilisateurs de ChatGPT ou d’autres produits OpenAI, a déclaré OpenAI.
« Nous sommes en train d’informer directement les organisations, les administrateurs et les utilisateurs concernés. Bien que nous n’ayons trouvé aucune preuve d’un quelconque effet sur les systèmes ou les données en dehors de l’environnement de Mixpanel, nous continuons à surveiller de près tout signe d’utilisation abusive », a déclaré OpenAI.
« Il ne s’agit pas d’une violation des systèmes d’OpenAI. Aucune conversation, demande d’API, données d’utilisation de l’API, mots de passe, informations d’identification, clés API, détails de paiement ou identifiants gouvernementaux n’ont été compromis ou exposés. »
Comment les clients doivent-ils réagir ?
Il existe trois niveaux de préoccupation : quels clients de l’API OpenAI sont concernés, comment les attaquants pourraient utiliser les données volées s’ils le sont, et la possibilité, même hypothétique, que des données plus précieuses telles que les clés API ou les informations d’identification du compte soient menacées.
Sur le premier problème, comme indiqué ci-dessus, les deux sociétés ont déclaré avoir contacté des clients pris dans la violation sans préciser combien d’utilisateurs étaient concernés. OpenAI a mis en place une adresse e-mail que les clients peuvent utiliser s’ils ont d’autres questions : mixpanelincident@openai.com. Mixpanel a mis en place une adresse de contact équivalente : support@mixpanel.com.
Néanmoins, si des décennies de violations de données ont appris au monde quelque chose, c’est que les entreprises ne connaissent pas toujours l’ampleur d’une violation de données, même lorsqu’elles prétendent la connaître. Pour cette raison, il serait sage que les clients OpenAI qui n’ont pas été contactés effectuent le même examen de sécurité que ceux qui l’ont fait.
OpenAI a déclaré que les clients doivent se méfier des attaques de phishing ciblant les adresses e-mail violées et vérifier que les messages qui semblent être envoyés depuis le domaine d’OpenAI sont authentiques. Ils doivent également activer l’authentification multifacteur (MFA).
Si le phishing semble générique, dans le contexte d’une connexion API, les dangers sont plus spécifiques et incluent de fausses alertes plus nuancées concernant des éléments tels que la facturation, les messages de quota et les connexions suspectes.
Selon OpenAI, les clients n’ont pas besoin de changer ou de réinitialiser les identifiants de compte ou les clés API, que les attaquants pourraient utiliser pour voler des données ou consommer des services. Malgré cela, les développeurs prudents ignoreront probablement cela et alterneront et réinitialiseront les informations d’identification, car cela supprime le risque.
Plusieurs organisations impliquées dans la sécurité des API et de l’IA ont proposé des recommandations plus détaillées à la lumière de l’incident OpenAI-Mixpanel, notamment Ox Security et Dev Community.
Surface d’attaque en aval
OpenAI utilise des plateformes d’analyse externes telles que Mixpanel pour suivre la façon dont les clients interagissent avec les modèles via l’API. Cela inclut les modèles sélectionnés par un client ainsi que les métadonnées de base telles que l’emplacement et l’identifiant de messagerie répertoriés ci-dessus. Il ne suit pas la « charge utile » de l’utilisateur, c’est-à-dire les requêtes et les réponses du chatbot envoyées au modèle depuis un navigateur, qui sont cryptées.
Le dernier incident souligne que la sécurité de la plateforme principale ne représente qu’une partie du risque : les plateformes secondaires et les partenaires constituent une porte dérobée qui peut exposer des organisations même prudentes, comme certains clients de Salesforce l’ont constaté avec des violations de données chez son partenaire Salesloft.
La surface d’attaque exposée par les plateformes d’IA est plus grande qu’il n’y paraît, un défi de sécurité et de gouvernance que les entreprises devraient évaluer avant de se lancer à pieds joints.
Cet article a été initialement publié sur .
