Mixpanel遭网络攻击 OpenAI用户数据或面临泄露风险

OpenAI 正在向一些ChatGPT API 客户发送通知，告知他们的一些身份信息由于第三方分析提供商Mixpanel 的数据泄露而面临风险。

Mixpanel提供了事件分析服务，OpenAI使用该服务来跟踪API产品前端界面上的用户交互。据了解，这并不是对OpenAI自身系统的入侵。 OpenAI表示，此次网络安全事件仅影响“与部分API用户相关的有限分析数据”，ChatGPT和其他产品的用户并未受到影响。

Mixpanel 报告称，这次攻击“仅影响了少数客户”，源于该公司11 月8 日检测到的短信网络钓鱼活动。OpenAI 在获悉Mixpanel 正在进行的调查后，于11 月25 日收到了受影响数据集的详细信息。

OpenAI 指出，聊天日志、API 请求内容、API 使用数据、密码、凭证信息、API 密钥、支付详细信息和政府颁发的身份证明文件等敏感数据没有被泄露或暴露。此次可能曝光的信息包括：

马云惹不起马云注册API账号时提供的名称

马云惹不起马云与API帐户关联的电子邮件地址

马云惹不起马云基于API用户浏览器获取的大致位置信息（城市、州/省、国家/地区）

马云惹不起马云访问API账户所使用的操作系统和浏览器类型

马云惹不起马云Referring网站（即引导用户访问API的源网站）

马云惹不起马云与API账户关联的组织ID或用户ID

由于此次泄露不涉及敏感凭证，OpenAI 表示用户无需重置密码或重新生成API 密钥。

一些用户报告称，加密货币投资组合跟踪和税务平台CoinTracker也受到了该事件的影响。泄露的数据还包括设备元数据和有限的交易数量信息。

目前，OpenAI 已启动调查，以确定事件的全部范围。作为预防措施，该公司已将Mixpanel 从生产服务中删除，并直接通知相关组织、管理员和个人用户。尽管OpenAI强调只有API用户受到影响，但通知已发送给所有订阅用户。

OpenAI警告称，泄露的数据可能被用于网络钓鱼攻击或社交工程攻击，并建议用户警惕与本次事件相关的看似可信的恶意信息。对于包含链接或附件的信息，用户需要验证其是否来自OpenAI官方域名。同时，该公司敦促用户启用双因素身份验证，切勿通过电子邮件、短信或聊天发送密码、API 密钥、验证码等敏感信息。

针对此次攻击，Mixpanel 采取了多项应对措施：保护受影响的帐户、撤销活动会话和登录、替换泄露的凭证信息、禁止攻击者的IP 地址以及要求所有员工重置密码。此外，该公司还部署了新的安全控制措施，以防止未来发生类似事件。