Un pirate informatique s'est introduit dans les systèmes de Mixpanel, partenaire d'OpenAI pour l'analyse web. Des informations personnelles d'utilisateurs de l'API ont été dérobées. ChatGPT est, de son côté, hors de danger.
OpenAI fait face à une fuite de données par ricochet. Le 9 novembre, Mixpanel, prestataire d'analyse web utilisé pour l'API d'OpenAI, a subi une cyberattaque. Un hacker a exfiltré des informations personnelles d'utilisateurs de platform.openai.com. L'entreprise d'intelligence artificielle, qui n'a découvert la réelle ampleur du problème que le 25 novembre, assure aujourd'hui que ses propres systèmes n'ont pas été compromis et met immédiatement fin à son partenariat avec Mixpanel. OpenAI est revenu, de A à Z et en toute transparence, sur l'incident.
Ce que le hacker a réussi à voler dans les serveurs de Mixpanel
Le 9 novembre donc, Mixpanel détecte une intrusion dans une partie de ses infrastructures. L'attaquant a réussi son coup, en exfiltrant un fichier contenant des données d'identification et d'analyse. Le prestataire prévient alors OpenAI qu'une enquête est en cours. Mais il faudra attendre le 25 novembre pour qu'il partage l'étendue des dégâts. Seize jours d'incertitude.
Les pirates ont pu récupérer des informations liées aux comptes API d'OpenAI accessibles via platform.openai.com. Dans leur besace, il y a des noms, des adresses e-mail, des localisations approximatives, les systèmes d'exploitation et navigateurs utilisés, les sites web d'origine, et des identifiants d'organisations. Un cocktail suffisant pour orchestrer des campagnes de phishing crédibles. Les millions d'utilisateurs de ChatGPT peuvent toutefois respirer, puisque l'incident ne les concerne pas.
Ce qui n'a pas fuité compte tout autant. OpenAI insiste sur le fait qu'aucune conversation, requête API, mot de passe, clé d'authentification, coordonnée bancaire ou document d'identité n'a été exposé. Les tokens de session restent également intacts. La masse de métadonnées ayant fuité est assez gênante, mais du point de vue de la firme californienne, il n'y a pas de quoi compromettre directement la sécurité des comptes.
Rupture immédiate et tour de vis sécuritaire
La réaction d'OpenAI a été immédiate et radicale. Dès que l'incident a été signalé, l'entreprise a retiré Mixpanel de tous ses services en production. Après avoir examiné l'ensemble des données volées, la décision est tombée, avec une rupture définitive du contrat. OpenAI ne fera plus jamais appel à ce prestataire qui a échoué à protéger les informations.
Mais le roi du chatbot ne s'arrête pas au seul cas Mixpanel. L'entreprise profite de cet incident pour passer au crible l'ensemble de ses prestataires et fournisseurs. Des audits de sécurité approfondis sont lancés, les critères de sélection durcis. En parallèle, OpenAI surveille le web pour détecter toute utilisation frauduleuse des données dérobées. À date, aucune trace d'exploitation malveillante n'a été repérée.
Pour les utilisateurs concernés, le danger est maintenant ailleurs, et il s'agit du bien connu phishing. Avec leurs noms, e-mails et identifiants OpenAI entre les mains de pirates, ils deviennent des cibles de choix pour des arnaques sur mesure. L'entreprise met en garde et appelle à se méfier des courriers électroniques suspects, ainsi qu'à ne jamais donner vos mots de passe ou clés API par message. Pensez bien à activer l'authentification à double facteur.
