C’è aria di tempesta nel rapporto tra OpenAI e i suoi fornitori esterni. La società dietro ChatGPT ha comunicato di aver terminato la collaborazione con Mixpanel, piattaforma di analisi dati utilizzata fino a pochi giorni fa per monitorare l’uso delle proprie API. Il motivo? Un attacco informatico che ha portato all’esposizione di alcuni dati degli sviluppatori che usano i servizi di OpenAI.

L’incidente risale al 9 novembre, quando qualcuno è riuscito a entrare nei sistemi di Mixpanel ed esportare un set di dati contenente informazioni limitate ma comunque sensibili.

Come riporta il blog ufficiale di OpenAI, tra i dati potenzialmente esposti ci sono nomi, indirizzi email, identificativi utente, informazioni sul browser utilizzato e la posizione geografica approssimativa.

Niente panico per chi usa ChatGPT

Prima che scatti l’allarme generale: gli utenti di ChatGPT riguarda esclusivamente chi utilizza le API della piattaforma (sviluppatori e aziende, principalmente), non i milioni di persone che chattano quotidianamente con il famoso assistente virtuale.

OpenAI ci tiene infatti a precisare che i propri sistemi non sono stati compromessi. Nessuna conversazione, nessuna richiesta alle API, nessuna password, chiave di accesso o dato di pagamento è finito nelle mani sbagliate.

Il problema sembra essere nato e rimasto confinato all’interno dell’infrastruttura di Mixpanel.

L’attacco è partito da un SMS truffaldino

Dal canto suo, Mixpanel ha spiegato che tutto è cominciato con una campagna di smishing, ovvero phishing via SMS, rilevata l’8 novembre. L’azienda ha attivato immediatamente i propri protocolli di risposta: account compromessi messi in sicurezza, sessioni attive revocate, credenziali ruotate e indirizzi IP malevoli bloccati. È stato inoltre effettuato un reset globale delle password per tutti i dipendenti.

OpenAI alza l’asticella della sicurezza

La reazione di OpenAI non si è fatta attendere. Oltre a tagliare i ponti con Mixpanel, l’azienda ha annunciato una revisione completa di tutti i fornitori esterni con cui collabora, alzando i requisiti di sicurezza richiesti a chiunque gestisca dati legati ai propri servizi.

Chi è stato coinvolto riceverà (o ha già ricevuto) una comunicazione diretta. Per gli altri, nessuna azione è necessaria. Il consiglio di OpenAI è comunque quello di prestare attenzione a eventuali messaggi sospetti: i dati trapelati potrebbero essere sfruttati per tentativi di phishing mirati.