Zum Hauptinhalt Zur Navigation
Abo testen Anmelden
Deals
Rack & Stack (öffnet im neuen Fenster) Forum (öffnet im neuen Fenster)
SoftwareSecurityHardwareWissen

Nutzerdaten abgeflossen: Dienstleister von OpenAI fällt auf Phishing-SMS rein

Bei dem Webanalyse-Dienstleister Mixpanel sind durch eine Smishing -Attacke Daten abgeflossen. Das betrifft auch Nutzer des ChatGPT -Entwicklers OpenAI .
/ Marc Stöckel
Kommentare News folgen (öffnet im neuen Fenster)
Angreifer haben bei einem OpenAI-Dienstleister Daten erbeutet. (Bild: STEFANO RELLANDINI/AFP via Getty Images)
Angreifer haben bei einem OpenAI-Dienstleister Daten erbeutet. Bild: STEFANO RELLANDINI/AFP via Getty Images

OpenAI informiert seine Nutzer derzeit über einen Datenabfluss bei einem Webdatenanalyse-Dienstleister namens Mixpanel. Dieser wiederum bestätigt den Sicherheitsvorfall in einem Blogbeitrag(öffnet im neuen Fenster) und gesteht, Ziel einer Smishing-Kampagne (SMS-Phishing) geworden zu sein. Offenkundig interagierte also ein Mitarbeiter von Mixpanel mit einer Phishing-SMS, was schließlich einen Abfluss von Kundendaten zur Folge hatte.

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)
IT-Spezialist ERP-Schnittstellen (m/w/d) A.T.U Auto-Teile-Unger GmbH & Co. KG, Weiden,Home Office (öffnet im neuen Fenster)
Revisor/-in / Prüfungsleitung Ausrichtung IT, Informationssicherheit und Projektmanagement (m/w/d) – ohne Reisetätigkeit – VBL. Versorgungsanstalt des Bundes und der Länder, Karlsruhe (öffnet im neuen Fenster)
IT Architekt Infrastruktur (m/w/d) Professional SWE Digital GmbH, Erfurt (öffnet im neuen Fenster)
IT Systemadministrator (m/w/d) MEDAS factoring GmbH, München (öffnet im neuen Fenster)
(Senior) Market Intelligence Manager (w/m/d) B. Braun SE, Melsungen (öffnet im neuen Fenster)
Prozessmanager (m/w/d) HA Hessen Agentur GmbH, Wiesbaden (öffnet im neuen Fenster)
Prof. Consultant IT-KI Transformation Pro Projekte GmbH & Co. KG, Düsseldorf (öffnet im neuen Fenster)
Sachbearbeiter (m/w/d) DSGVO-Anfragen Pair Finance GmbH, Berlin (öffnet im neuen Fenster)

Betroffen ist den Angaben nach "eine begrenzte Anzahl" der Kunden des Dienstleisters. Dazu zählt auch OpenAI, was der ChatGPT-Entwickler in einer E-Mail an seine Kunden sowie einer Meldung auf seiner Webseite(öffnet im neuen Fenster) bestätigte. Betroffen sind demnach nur Anwender, die in der Vergangenheit die API von OpenAI (platform.openai.com) verwendet haben.

Den Angaben zufolge sind von dem Vorfall "begrenzte Analysedaten im Zusammenhang mit API-Konten" betroffen. Zu den potenziell abgeflossenen Daten zählt das KI-Unternehmen außerdem Namen, E-Mail-Adressen, grobe Standortdaten, Informationen über verwendete Betriebssysteme und Webbrowser der Nutzer sowie mit dem jeweiligen API-Account verknüpfte Organisations- oder Benutzer-IDs.

ChatGPT-Chats sind nicht betroffen

OpenAI betont, dass seine eigenen Systeme nicht Ziel dieses Angriffs waren und dass keinerlei Chatinhalte von ChatGPT, API-Anfragen, API-Nutzungsdaten, Anmeldedaten, API-Schlüssel, Zahlungsdaten oder Ausweisdaten kompromittiert wurden. Zudem versichert das Unternehmen, den Vorfall zusammen mit Mixpanel und anderen Partnern zu untersuchen, um das genaue Ausmaß zu erfassen.

Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)

Überdies stellte OpenAI die Nutzung von Mixpanel nach eigenen Angaben infolge des Datenlecks ein. Bisher griff das KI-Unternehmen für Webanalysen auf Lösungen des Dienstleisters zurück. Zu den weiteren laut Website(öffnet im neuen Fenster) über 29.000 Mixpanel-Kunden zählen unter anderem Uber, Autodesk, Docusign, Nasdaq, Twitch, LG, Yelp und Bolt.

Denkbar ist also, dass in Kürze noch weitere Unternehmen ihre Kunden über einen Datenabfluss informieren. Mixpanel versichert, alle betroffenen Kunden über den Vorfall informiert und für weitere Untersuchungen externe Cybersicherheitsexperten hinzugezogen zu haben. Zudem habe das Unternehmen umfassende Maßnahmen ergriffen, um den unbefugten Zugriff auf seine Systeme einzudämmen.

Zur Startseite Kommentare

Relevante Themen

KIOpenAIChatGPTSoftwareToolsSecurityCybercrimeDatensicherheitDatenleckAPI