Mixpanel遭駭殃及OpenAI API用戶

資料分析業者Mixpanel本月遭到駭客入侵，導致部分OpenAI API用戶的帳號資訊外洩。OpenAI已於系統中移除了Mixpanel，也終止使用該服務，並開始通知受影響的用戶。

Mixpanel主要開發產品分析平臺，協助企業追蹤使用者於網站、App及API等各介面的行為，可分析留存率、轉換率、功能使用情況及使用路徑等，在全球擁有近3萬家客戶。OpenAI以Mixpanel作為第三方的網頁分析供應商，以協助理解及改善OpenAI API產品，OpenAI API可用來存取各種AI模型，包括文字生成、自然語言處理及電腦視覺等。

Mixpanel周四（11/27）表示，該公司是在11月8日偵測到一起釣魚簡訊攻擊，並快速啟動事件回應流程，包括保護受影響帳號，撤銷所有活躍會話及登入紀錄，輪替受影響帳號的被盜Mixpanel憑證，封鎖惡意IP位址，在自家SIEM平臺上登錄了IOCs，重置所有Mixpanel員工的全球密碼，聘請第三方安全公司，鑑識受影響帳號的身分、會話及匯出日誌，以及實施了額外的控制措施等，並已聯繫所有受到影響的客戶。

Mixpanel並未公布受到此事波及的客戶名單，但OpenAI同一天即發表了聲明，指出駭客存取了Mixpanel的部分系統，並匯出了一個包含有限客戶身分資料及分析資訊的資料集，OpenAI API用戶的資料可能會出現在該資料集中，如果有的話僅限於該API帳號的名稱，電子郵件位址，根據用戶瀏覽器所提供的大概位置，用於存取該帳號的作業系統及瀏覽器資訊，推薦網站，以及與該API帳號有關的組織或使用者ID。

OpenAI強調，此一意外發生在Mixpanel的系統內部，涉及某些API用戶的部分分析資料，ChatGPT與其它產品的使用者並未受到影響。

此外，OpenAI也提醒，外洩的資料可能會被用來針對受害者或其組織展開釣魚或社會工程攻擊。這起事件也讓OpenAI針對整個供應商生態系統展開更廣泛的安全審查，提高所有合作夥伴與供應商的安全要求。