OpenAI ha confirmado oficialmente una brecha de seguridad que implica a un proveedor de servicios de analítica de datos de terceros, denominado Mixpanel.
OpenAI, creador de ChatGPT, ha confirmado un incidente de seguridad, del que asegura no ser responsable. La brecha de datos afecta al proveedor externo de analítica Mixpanel y ha provocado la exposición de datos limitados de usuarios vinculados a su plataforma de API.
"Esto no fue una intrusión en los sistemas de OpenAI. Ningún chat, solicitudes a la API, datos de uso de la API, contraseñas, credenciales, claves de API, datos de pago o documentos de identidad se han visto comprometidos ni expuestos", dijo la empresa en un correo con el que informó el jueves a los usuarios.
Según OpenAI, Mixpanel detectó un ataque al sistema el 9 de noviembre. El atacante obtuvo acceso no autorizado a parte de sus sistemas y exportó un conjunto de datos que contenía información identificable limitada de clientes y datos de analítica.
OpenAI señaló que la información potencialmente afectada se limitaba a nombres, direcciones de correo electrónico e identificadores de usuario. OpenAI afirmó que había dejado de utilizar Mixpanel y reiteró que la brecha no se debió a vulnerabilidades en sus propios sistemas.
¿Qué implica para sus datos?
La empresa aseguró que investigaría la brecha y pidió a los usuarios extremar la vigilancia ante intentos de phishing y estafas de ingeniería social que puedan tratar de aprovechar los datos sustraídos. Se ha animado a los usuarios a activar la autenticación multifactor como medida adicional de protección de sus cuentas.
Aunque OpenAI aseguró que no se expusieron conversaciones con ChatGPT, el incidente recuerda cuántos datos personales maneja OpenAI cuando las personas comparten su intimidad con los chatbots. OpenAI adelantó que impondrá requisitos de seguridad más estrictos a todos sus socios externos.
El uso de la analítica de Mixpanel por parte de OpenAI es una práctica habitual, pero se recogían datos como direcciones de correo electrónico y ubicación que no eran necesarios para mejorar el producto, lo que podría vulnerar el principio de minimización de datos del RGPD, señaló Moshe Siman Tov Bustan, responsable de un equipo de investigación de seguridad en OX Security, una empresa de seguridad de IA.
"Las empresas, desde gigantes tecnológicos como OpenAI hasta startups unipersonales, deberían siempre proteger en exceso y anonimizar los datos de sus clientes que envían a terceros para evitar que ese tipo de información pueda ser robada o vulnerada", dijo a 'Euronews Next'.
"Incluso cuando se utilizan proveedores legítimos y verificados, cada dato identificable que se envía fuera crea otro posible punto de exposición".