ChatGPT превратился из новинки в необходимость менее чем за два года. Теперь он является частью того, как вы работаете, учитесь, пишете, программируете и ищете информацию. OpenAI заявила, что у сервиса примерно 800 миллионов еженедельных активных пользователей, что ставит его в один класс с крупнейшими потребительскими платформами в мире.
Когда инструмент становится настолько важным в вашей повседневной жизни, вы предполагаете, что люди, управляющие им, могут обеспечить безопасность ваших данных. Этому доверию недавно был нанесен удар после того, как OpenAI подтвердила, что личная информация, связанная с учетными записями API, была раскрыта в результате утечки данных с участием одного из ее сторонних партнеров.
Подпишитесь на мой БЕСПЛАТНЫЙ CyberGuy ReportПолучайте мои лучшие технические советы, срочные оповещения о безопасности и эксклюзивные предложения прямо на свою почту. Кроме того, вы получите мгновенный доступ к моему «Руководству по выживанию при мошенничестве» — бесплатно при подписке на мою рассылку CYBERGUY.COM.
Что вам нужно знать об утечке данных ChatGPT
Уведомление OpenAI по электронной почте возлагает ответственность за утечку данных исключительно на Mixpanel, крупного поставщика аналитики, которого компания использовала на своей платформе API. В письме подчеркивается, что собственные системы OpenAI не были взломаны. История чатов, платежная информация, пароли или ключи API не были раскрыты. Вместо этого украденные данные поступили из среды Mixpanel и включали имена, адреса электронной почты, идентификаторы организаций, приблизительное местоположение и технические метаданные из браузеров пользователей.
На поверхности это звучит безобидно. В письме эти данные называются «ограниченными» аналитическими данными, но эта формулировка больше похожа на пиар-амортизацию, чем на что-либо еще. Для злоумышленников такого рода метаданные — золото. Набор данных, раскрывающий, кто вы, где работаете, какую машину используете и как устроена ваша учетная запись, дает киберпреступникам все необходимое для проведения целевых фишинговых кампаний и кампаний по выдаче себя за других.
Самый большой красный флаг — это раскрытие идентификаторов организаций (Organization IDs). Любой, кто создает на основе OpenAI API, знает, насколько чувствительны эти идентификаторы. Они находятся в центре внутреннего биллинга, лимитов использования, иерархии учетных записей и рабочих процессов поддержки. Если злоумышленник укажет ваш Org ID в поддельном оповещении о выставлении счета или запросе в службу поддержки, внезапно станет очень трудно отмахнуться от такого сообщения как от мошенничества.
Восстановленная самой OpenAI хронология событий вызывает еще больше вопросов. Mixpanel впервые обнаружил атаку с помощью смс-фишинга (smishing) 8 ноября. На следующий день злоумышленники получили доступ к внутренним системам и экспортировали данные OpenAI. Эти данные находились в чужих руках более двух недель, прежде чем Mixpanel сообщил об этом OpenAI 25 ноября. Только тогда OpenAI предупредила всех. Это долгий и тревожный период молчания, который оставил пользователей API уязвимыми для целевых атак, даже не подозревая о риске. OpenAI заявляет, что на следующий день разорвала отношения с Mixpanel.
Масштаб риска и стоящая за ним проблема политики
Время и масштаб здесь имеют значение. ChatGPT находится в центре бума генеративного ИИ. У него не только потребительский трафик. У него есть конфиденциальные переговоры разработчиков, сотрудников, стартапов и предприятий. Несмотря на то, что утечка затронула учетные записи API, а не историю потребительских чатов, этот инцидент по-прежнему высвечивает более широкую проблему. Когда платформа достигает почти миллиарда еженедельных пользователей, любая трещина становится проблемой национального масштаба.
Регуляторы предупреждали об этом точном сценарии. Безопасность поставщиков — одно из слабых звеньев в современной технологической политике. Законы о защите данных, как правило, сосредоточены на том, что компания делает с информацией, которую вы ей предоставляете. Они редко обеспечивают надежные ограничения для всей цепочки сторонних сервисов, которые обрабатывают эти данные по пути. Mixpanel — не неизвестный оператор. Это широко используемая аналитическая платформа, которой доверяют тысячи компаний. Тем не менее, она потеряла набор данных, который никогда не должен был быть доступен злоумышленнику.
Компании должны относиться к поставщикам аналитики так же, как к основной инфраструктуре. Если вы не можете гарантировать, что ваши поставщики соблюдают те же стандарты безопасности, что и вы, вам не следует собирать эти данные в первую очередь. Для такой влиятельной платформы, как ChatGPT, ответственность еще выше. Люди не до конца понимают, сколько невидимых сервисов стоит за одним запросом к ИИ. Они доверяют бренду, с которым взаимодействуют, а не длинному списку партнеров, стоящих за ним.
8 шагов, которые вы можете предпринять, чтобы обезопасить себя при использовании инструментов ИИ
Если вы полагаетесь на инструменты ИИ каждый день, стоит ужесточить личную безопасность, прежде чем ваши данные окажутся в чужой аналитической панели. Вы не можете контролировать, как каждый поставщик обрабатывает вашу информацию, но вы можете значительно усложнить задачу злоумышленникам, нацелившимся на вас.
1) Используйте надежные уникальные пароли
Относитесь к каждой учетной записи ИИ так, как будто в ней хранится что-то ценное, потому что так и есть. Длинные уникальные пароли, хранящиеся в надежном менеджере паролей, уменьшают последствия, если одна платформа будет взломана. Это также защищает вас от подбора учетных данных (credential stuffing), когда злоумышленники пробуют один и тот же пароль на разных сервисах.
Далее проверьте, не фигурировал ли ваш email в прошлых утечках данных. Наш выбор менеджера паролей №1 (см. Cyberguy.com/Passwords) включает встроенный сканер утечек, который проверяет, появлялись ли ваш адрес электронной почты или пароли в известных утечках. Если вы обнаружите совпадение, немедленно измените все повторно использованные пароли и защитите эти учетные записи новыми уникальными паролями.
Ознакомьтесь с лучшими экспертно оцененными менеджерами паролей 2025 года на Cyberguy.com.
2) Включите устойчивую к фишингу двухфакторную аутентификацию (2FA)
Платформы ИИ стали главными целями, поэтому они полагаются на более сильную 2FA. Используйте приложение-аутентификатор или аппаратный ключ безопасности. SMS-коды могут быть перехвачены или перенаправлены, что делает их ненадежными во время крупных фишинговых кампаний.
3) Используйте надежное антивирусное программное обеспечение
Еще один важный шаг, который вы можете предпринять, чтобы защитить себя от фишинговых атак, — это установить надежное антивирусное программное обеспечение на свои устройства. Оно также может предупреждать вас о фишинговых письмах и мошенничестве с вымогательством, помогая сохранить вашу личную информацию и цифровые активы в безопасности.
Лучший способ обезопасить себя от вредоносных ссылок, которые устанавливают вредоносное ПО и потенциально получают доступ к вашей личной информации, — это установить надежное антивирусное программное обеспечение на все ваши устройства. Эта защита также может предупреждать вас о фишинговых письмах и мошенничестве с вымогательством, сохраняя вашу личную информацию и цифровые активы в безопасности.
Получите мои рекомендации по лучшим антивирусным решениям 2025 года для ваших устройств Windows, Mac, Android и iOS на Cyberguy.com.
4) Ограничьте объем личных или конфиденциальных данных, которыми вы делитесь
Дважды подумайте, прежде чем вставлять личные переписки, служебные документы, медицинские записи или адреса в окно чата. Многие инструменты ИИ хранят недавнюю историю для улучшения моделей, если вы не откажетесь от этого, а некоторые маршрутизируют данные через внешних поставщиков. Все, что вы вставите, может прожить дольше, чем вы ожидаете.
5) Используйте сервис удаления данных, чтобы уменьшить свое цифровое присутствие
Злоумышленники часто комбинируют украденные метаданные с информацией, полученной с сайтов поиска людей и старых списков. Хороший сервис удаления данных сканирует Интернет на наличие раскрытых личных данных и отправляет запросы на удаление от вашего имени. Некоторые сервисы даже позволяют отправлять пользовательские ссылки для удаления. Очистка этих следов значительно усложняет проведение целевых фишинговых атак и атак с выдачей себя за другого.
Хотя ни одна услуга не может гарантировать полное удаление ваших данных из Интернета, сервис удаления данных — действительно разумный выбор. Они недешевы, как и ваша конфиденциальность. Эти сервисы делают всю работу за вас, активно отслеживая и систематически удаляя вашу личную информацию с сотен сайтов. Именно это дает мне душевное спокойствие и доказало свою эффективность как лучший способ стереть ваши личные данные из Интернета. Ограничивая объем доступной информации, вы снижаете риск того, что мошенники смогут сопоставить данные из утечек с информацией, которую они могут найти в даркнете, что затрудняет их нацеливание на вас.
Ознакомьтесь с моими лучшими рекомендациями по сервисам удаления данных и получите бесплатную проверку, чтобы узнать, не оказалась ли ваша личная информация уже в сети, посетив Cyberguy.com.
Получите бесплатную проверку, чтобы узнать, не оказалась ли ваша личная информация уже в сети: Cyberguy.com.
6) Относитесь к неожиданным сообщениям поддержки с подозрением
Злоумышленники знают, что пользователи впадают в панику, когда слышат об ограничениях API, сбоях в биллинге или проблемах с проверкой учетной записи. Если вы получили письмо, якобы от поставщика ИИ, не нажимайте на ссылку. Откройте сайт вручную или используйте официальное приложение, чтобы подтвердить, является ли оповещение реальным.
7) Своевременно обновляйте свои устройства и программное обеспечение
Многие атаки успешны, потому что устройства работают на устаревших операционных системах или браузерах. Регулярные обновления закрывают уязвимости, которые могут быть использованы для кражи токенов сеансов, перехвата нажатий клавиш или захвата процесса входа в систему. Обновления скучны, но они предотвращают удивительно большое количество проблем.
8) Удаляйте учетные записи, которые вам больше не нужны
Старые учетные записи лежат с старыми паролями и старыми данными и становятся легкой мишенью. Если вы больше не используете активно какой-либо инструмент ИИ, удалите его из списка учетных записей и сотрите все сохраненные данные. Это снижает вашу уязвимость и ограничивает количество баз данных, содержащих ваши данные.
Ключевой вывод Курта
Эта утечка, возможно, не затронула журналы чатов или платежные реквизиты, но она показывает, насколько хрупкой может быть экосистема ИИ в целом. Ваши данные находятся в безопасности ровно настолько, насколько безопасен наименее защищенный партнер в цепочке. Теперь, когда у ChatGPT почти миллиард еженедельных пользователей, этой цепочке нужны более строгие правила, лучший контроль и меньше слепых зон. Если что и должно случиться, так это напоминание о том, что стремление к внедрению ИИ нуждается в более сильных политических ограничителях. Компании не могут прятаться за прозрачными письмами постфактум. Они должны доказать, что инструменты, на которые вы полагаетесь каждый день, безопасны на каждом уровне, включая те, которые вы никогда не видите.
Доверяете ли вы платформам ИИ свою личную информацию? Дайте нам знать, написав нам на Cyberguy.com.
Подпишитесь на мой БЕСПЛАТНЫЙ CyberGuy ReportПолучайте мои лучшие технические советы, срочные оповещения о безопасности и эксклюзивные предложения прямо на свою почту. Кроме того, вы получите мгновенный доступ к моему «Руководству по выживанию при мошенничестве» — бесплатно при подписке на мою рассылку CYBERGUY.COM.
Copyright 2025 CyberGuy.com. Все права защищены.
Курт "CyberGuy" Кнутссон — отмеченный наградами технический журналист, который глубоко любит технологии, оборудование и гаджеты, делающие жизнь лучше, своими материалами для Fox News и FOX Business, начиная с утра в программе "FOX & Friends". Есть технический вопрос? Получите бесплатную рассылку Курта CyberGuy, поделитесь своим мнением, идеей для истории или комментарием на CyberGuy.com.
