Эксперт по информационной безопасности Артур Папян на своей странице в Facebook объяснил, что делать, если вы получили уведомление от OpenAI об утечке данных.

Он подчеркнул, что основные системы OpenAI не были скомпрометированы, а пароли и история чатов остались в безопасности.

Инцидент произошёл через Mixpanel — поставщика веб-аналитики, который используется для интерфейса API OpenAI (platform[.]openai[.]com). Злоумышленники смогли получить ограниченные данные.

Что могло быть раскрыто:

• Имя и электронная почта (из API-аккаунта)
• Примерное местоположение (город, регион, страна)

Информация об ОС и браузере

• Что осталось в безопасности:
• Пароли, API-ключи, платёжные данные

История чатов, API-запросы и использование

Папян отметил, что в основном раскрыта информация, позволяющая установить личность и местоположение пользователя. По его словам, больше всего риску подвержены разработчики, поскольку обычные пользователи ChatGPT редко заходят на platform[.]openai[.]com.

Основная угроза — фишинг

По мнению Папяна, у злоумышленников теперь есть имена, адреса электронной почты и идентификаторы пользователей, что открывает путь к фишинговым и социально-инженерным атакам.

«Они могут подделывать письма от имени OpenAI с просьбой “подтвердить API-ключ” или “обновить платёжные данные” через поддельные сайты», — предупредил он.

Неотложные меры безопасности:

• Включите MFA/2FA на платформе OpenAI: если вы ещё не используете двухфакторную аутентификацию, сделайте это немедленно — это минимальная защита от фишинга.
• С осторожностью относитесь к письмам от имени OpenAI или ChatGPT в ближайшие месяцы. Любое письмо с просьбой перейти по ссылке, ввести личные данные или обновить информацию должно вызывать подозрение.