Mixpanel, un prestataire avec lequel travaille OpenAI, a été victime d’une cyberattaque associée à une fuite de données. Quels sont les risques pour les utilisateurs de ChatGPT et des services d’OpenAI ? Faisons le point.

Une fuite de données liée à un outil d’analyse

Commençons par évoquer le lien entre Mixpanel et OpenAI. Il s’agit de l’outil utilisé par OpenAI pour collecter et analyser les interactions des utilisateurs avec l’interface principale (frontend) de l’API. Cela concerne les interactions sur le site platform.openai.com. Cet outil n’a donc pas accès aux données échangées entre les utilisateurs et l’IA d’OpenAI.

Mixpanel a subi une attaque de smishing, détectée le 9 novembre, qui a permis aux pirates de mettre la main sur certaines informations. Selon les détails fournis par Mixpanel et transmis à OpenAI le 25 novembre, les données exposées sont :

• Nom associé au compte API
• Adresse e-mail
• Localisation approximative (ville, État, pays)
• OS et navigateur utilisés
• Sites d’origines de la visite
• Identifiants d’organisation ou d’utilisateur

“L’incident s’est produit au sein des systèmes de Mixpanel et a concerné des données analytiques limitées relatives à certains utilisateurs de l’API.“, précise OpenAI.

La bonne nouvelle : aucun mot de passe ni aucune clé API n’ont été compromis. L’impact de cet incident est limité à des données d’analytique, et n’impacte pas ChatGPT. Autrement dit, vos conversations avec l’IA ne sont pas impactées par cette cyberattaque.

Dans son communiqué, OpenAI insiste sur le fait que ces systèmes n’ont pas été compromis : “Il ne s’agit pas d’une violation des systèmes d’OpenAI. Aucune conversation, demande API, donnée d’utilisation API, mot de passe, identifiant, clé API, information de paiement ou pièce d’identité officielle n’a été compromise ou exposée.”

OpenAI se débarrasse de Mixpanel

Pour limiter les risques, OpenAI a retiré Mixpanel de ses services de production et lancé sa propre enquête interne pour identifier précisément le périmètre de cette intrusion. Dans le même temps, les organisations et utilisateurs concernés sont notifiés par l’entreprise américaine.

Du côté de Mixpanel, la PDG Jen Taylor affirme que des mesures correctives ont été mises en place : sécurisation des comptes, révocation des sessions, rotation des identifiants compromis, blocage des adresses IP malveillantes et reset généralisé des mots de passe des employés.

Quels risques pour les utilisateurs concernés ?

Même si l’incident ne touche qu’un volume restreint de données non sensibles, l’exposition d’adresses e-mail, d’informations techniques, ou d’identifiants d’organisation peut faciliter la mise en place de campagnes de phishing ciblées.

C’est précisément ce risque que met en avant OpenAI en avertissant l’ensemble de ses abonnés, même ceux non concernés, afin de renforcer leur vigilance.

Source