Détecté le 9 novembre, l’incident a abouti à l’exposition de données restreintes liées à une partie des utilisateurs de « platform.openai« , l’espace dédié aux développeurs intégrant les solutions d’OpenAi dans leurs services. La société souligne que ChatGpt et l’ensemble de ses outils destinés au grand public n’ont, pour leur part, pas été affectés.
Dans son message, OpenAi adopte un ton apaisant et précise que la faille ne provient pas de ses propres infrastructures. L’entreprise assure qu’aucune conversation ChatGpt, ni mot de passe, donnée bancaire ou pièce d’identité n’a été exposé.
Les éléments potentiellement concernés se limitent aux informations de profil associées à l’usage de la plateforme API : nom et adresse e-mail utilisés lors de l’inscription, localisation approximative déduite du navigateur (ville, région, pays), système d’exploitation et type de navigateur, ainsi que les identifiants liés au compte ou à l’organisation.
OpenAI exhorte les utilisateurs à la vigilance face aux potentielles campagnes de phishing
La faille provient des systèmes internes de Mixpanel, où l’attaquant est parvenu à extraire un ensemble de données comprenant ces informations d’identification ainsi que des éléments d’analyse. Informée de l’incident, OpenAi a été avisée de l’ouverture d’une enquête. Dans la foulée, l’entreprise a cessé de recourir aux services de Mixpanel et a commencé à informer individuellement les utilisateurs concernés.
OpenAi avertit également les développeurs que les données compromises pourraient servir de base à des campagnes de phishing ou d’ingénierie sociale. Les cybercriminels sont en effet susceptibles de s’appuyer sur ces informations pour élaborer des courriels frauduleux ciblés, usurpant l’identité d’OpenAi ou d’autres services légitimes. L’entreprise appelle ainsi ses utilisateurs à activer l’authentification à deux facteurs et à faire preuve d’une vigilance accrue face aux tentatives d’hameçonnage.
