אם יש לכם חשבון ב-OpenAI (ולמי אין ב-2025?), כדאי שתפתחו עיניים. הבוקר (חמישי) התעוררנו לחדשות קצת מעצבנות מכיוון יוצרת ChatGPT.
לא, הרובוטים לא השתלטו על העולם עדיין, אבל הפרטיות שלכם ספגה מכה קטנה בכנף. החברה אישרה רשמית שחלה דליפת מידע, והסיפור הזה הוא תזכורת קלאסית לכך שגם אם נועלים את הדלת הראשית, לפעמים הגנב נכנס דרך החלון של השכן.
מחברים אתכם לטכנולוגיה. עכשיו יותר מתמיד.
האפליקציה הרשמית של The Verifier
במקרה הזה, "השכן" הוא חברת Mixpanel, ספקית אנליטיקה ש-OpenAI עובדת איתה כדי להבין מה קורה בממשקי ה-API שלה. מסתבר שהאקרים הצליחו לפרוץ למערכות של Mixpanel עוד ב-9 בנובמבר, ורק ב-25 – שבועיים שלמים אחרי – המידע הזה הגיע ל-OpenAI.
פער הזמנים הזה הוא בדיוק מה שמלחיץ בעולם הסייבר, אבל לפחות החברה הגיבה מהר וניתקה את הצינורות ברגע שהבינה מה קרה.
אז מה הם יודעים עליכם?
קודם כל, בואו נרגיע: פריצת אבטחה ב-OpenAI זה ביטוי מלחיץ, אבל במקרה הזה הכספת הגדולה נשארה נעולה. זה אומר שכל השיחות האינטימיות שלכם עם ChatGPT, קוד המקור שביקשתם ממנו לכתוב, הסיסמאות שלכם ופרטי האשראי – כל אלו לא דלפו.
אבל (וזה "אבל" חשוב), ההאקרים כן יצאו עם שלל לא רע בכלל, שמאפשר להם להרכיב פרופיל דיגיטלי נחמד עליכם.
המידע שדלף כולל את השמות המלאים שלכם, כתובות המייל איתן נרשמתם (בעיקר בחשבונות API), והכי מעצבן – הם יודעים איפה אתם נמצאים בגדול (לפי כתובת IP), באיזה דפדפן אתם גולשים, ואם אתם משויכים לארגון מסוים – הם יודעים גם את שמו.
למה זה משנה? כי כשמישהו יודע שאתם מפתחים בחברה X, ומשתמשים במערכת הפעלה Y, הוא מחזיק בכל הקלפים כדי "לעבוד עליכם" בהמשך.
עונת הפישינג נפתחה
הסכנה הגדולה כאן היא לא שיגנבו לכם כסף מהבנק מחר בבוקר, אלא שתקבלו מייל סופר-משכנע. תחשבו על זה: אתם מקבלים הודעה שנראית רשמית מ-OpenAI, שפונה אליכם בשמכם המלא, מזכירה את הארגון שאתם עובדים בו, ומבקשת שתלחצו על לינק לאיפוס סיסמה. נשמע אמין, נכון? זה בדיוק החשש.
OpenAI כבר שלחה מיילים למשתמשים שנפגעו (בעיקר משתמשים עסקיים ומפתחים, לפי ההערכות מדובר באלפים עד עשרות אלפים), והמסר הוא ברור: אל תאמינו לכלום כרגע.
החברה הדגישה שהיא לא תבקש מכם פרטים רגישים במייל, אז אם משהו מריח חשוד – הוא כנראה חשוד.
המגן האישי שלכם
זה לא הסקנדל הראשון של OpenAI שקשור למידע, וכנראה גם לא האחרון. ככל שאנחנו מעלים יותר דאטה לענן, אנחנו תלויים יותר בצדדים שלישיים שאנחנו אפילו לא מכירים, כמו אותה Mixpanel.
אז מה עושים תכלס? אל תחכו שחברות הטכנולוגיה ישמרו עליכם. אם עדיין לא הפעלתם אימות דו-שלבי (2FA), זה הזמן. ברצינות, תעשו את זה עכשיו. עוד טיפ של אלופים הוא להשתמש בכתובות מייל נפרדות (Aliases) לשירותים שונים. ככה, אם שירות אחד נפרץ, המייל הראשי שלכם נשאר נקי. OpenAI ממשיכה לחקור את האירוע, אבל בינתיים – תשמרו על עירנות, ואל תנדבו מידע לאף אחד שמבקש אותו במייל.
