A OpenAI, a empresa que desenvolveu o ChatGPT, recentemente confirmou que sofreu uma violação de segurança em um de seus provedores de análise, o Mixpanel. O incidente aconteceu no início do mês e resultou na exposição de dados como e-mail e localização de alguns usuários. A confirmação veio na quarta-feira, dia 26, levantando preocupações sobre como cibercriminosos podem usar essas informações para ataques mais direcionados, como phishing.
De acordo com o Mixpanel, em 8 de novembro, um invasor conseguiu acessar parte de seus sistemas e exportou dados que incluíam metadados e informações analíticas. Poderiam ser visualizados dados como nomes de usuários, endereços de e-mail e até mesmo a localização aproximada dos usuários, tudo isso com base nas informações do navegador e sistema operacional.
A OpenAI esclareceu que essa violação não comprometeu dados mais sensíveis, como prompts dos usuários, chaves de API, informações de pagamento ou tokens de autenticação. É importante destacar que apenas foram expostos dados de usuários que acessaram o serviço via API, ou seja, por meio de aplicativos que utilizam a tecnologia GPT. Portanto, se você usa o ChatGPT diretamente pelo site da OpenAI, provavelmente está a salvo.
Como parte da investigação sobre a segurança, a OpenAI removeu o Mixpanel de seus serviços de produção e está revisando os impactos do incidente. Em um comunicado, a empresa expressou seu compromisso com a transparência e informou estar em contato com todos os usuários afetados.
A Mixpanel, uma plataforma com sede em São Francisco e que fornece análises de comportamento de usuários em aplicativos, identificou a campanha de “smishing”, um tipo de ataque de phishing realizado por mensagens SMS. Um relatório da empresa Spacelift evidenciou que esse tipo de ameaça representou 39% de todos os ataques móveis em 2024.
Após a violação, a Mixpanel tomou medidas como revogar acessos, substituir credenciais comprometidas e bloquear endereços IP suspeitos. Além disso, ela redefiniu as senhas dos funcionários e contratou empresas especializadas em segurança cibernética. A Mixpanel começou a notificar os clientes afetados e garantiu que, se alguém não tivesse recebido uma comunicação, era sinal de que não estava entre os afetados.
A OpenAI, após considerar o incidente, decidiu encerrar a parceria com a Mixpanel, o que comunica uma clara mudança na abordagem em relação à proteção dos dados dos usuários. Diversos clientes expressaram sua frustração nas redes sociais, questionando a decisão da OpenAI de compartilhar suas informações com um serviço de terceiros.
Esses incidentes são cada vez mais comuns e ressaltam a importância da segurança de dados numa era digital em que a privacidade é frequentemente ameaçada.
