რა უნდა იცოდეთ Mixpanel-ის ბოლოდროინდელი უსაფრთხოების ინციდენტის შესახებ

განმარტება 2025 წლის 19 დეკემბერი: ჩვენ ვაახლებთ ბლოგს, რათა დავაზუსტოთ დაზარალებული მომხმარებლების აღწერა. თავდაპირველ ბლოგში ეწერა, რომ დაზარალდნენ „API-ის მომხმარებლები“. მას დაემატა: „ეს ასევე შეეხო ChatGPT‑ის მომხმარებელთა შეზღუდულ რაოდენობას, რომლებმაც დახმარების ცენტრში მიმართვები გაგზავნეს ან შესული იყვნენ platform.openai.com⁠(იხსნება ახალ ფანჯარაში)-ზე.“ ყველა დაზარალებული მომხმარებელი იდენტიფიცირებული და შეტყობინებული იქნა იმავე დროს, მომხმარებლებთან თავდაპირველი დაკავშირების ფარგლებში. ამ დაზუსტების გარდა, ინციდენტის ჩვენი გაგება, მათ შორის ჩართული ინფორმაციის ტიპი, არ შეცვლილა. 

ჩვენთვის გამჭვირვალობა მნიშვნელოვანია, ამიტომ გვინდა გაცნობოთ Mixpanel-ში მომხდარი ბოლოდროინდელი უსაფრთხოების ინციდენტის შესახებ. Mixpanel არის მონაცემთა ანალიტიკის პროვაიდერი, რომელსაც OpenAI იყენებდა ჩვენი API პროდუქტის frontend ინტერფეისზე (platform.openai.com⁠(იხსნება ახალ ფანჯარაში)) ვებანალიტიკისთვის. 

ინციდენტი Mixpanel-ის სისტემებში მოხდა და შეეხო API-ის ზოგიერთი მომხმარებლის შეზღუდულ ანალიტიკურ მონაცემებს. ასევე შეეხო ChatGPT‑ის მომხმარებელთა შეზღუდულ რაოდენობას, რომლებმაც დახმარების ცენტრში მიმართვები გაგზავნეს ან შესული იყვნენ platform.openai.com-ზე.

ეს არ ყოფილა OpenAI-ის სისტემების დარღვევა. ჩატები, API მოთხოვნები, API გამოყენების მონაცემები, პაროლები, ავტორიზაციის მონაცემები, API გასაღებები, გადახდის დეტალები ან სახელმწიფო პირადობის დოკუმენტები არ ყოფილა კომპრომეტირებული ან გამჟღავნებული.

რა მოხდა

2025 წლის 9 ნოემბერს Mixpanel-მა შეიტყო თავდამსხმელის შესახებ, რომელმაც მათი სისტემების ნაწილზე უნებართვო წვდომა მოიპოვა და გაიტანა მონაცემთა ნაკრები, რომელიც შეიცავდა მომხმარებლების შეზღუდულ იდენტიფიცირებად ინფორმაციასა და ანალიტიკურ ინფორმაციას. Mixpanel-მა OpenAI-ს აცნობა, რომ ინციდენტს იძიებდა, ხოლო 2025 წლის 25 ნოემბერს მათ ჩვენთან გააზიარეს დაზარალებული მონაცემთა ნაკრები. 

რას ნიშნავს ეს დაზარალებული მომხმარებლებისთვის

platform.openai.com⁠(იხსნება ახალ ფანჯარაში)-ის გამოყენებასთან დაკავშირებული მომხმარებლის პროფილის ინფორმაცია შესაძლოა შესული ყოფილიყო Mixpanel-იდან გატანილ მონაცემებში. ინფორმაცია, რომელიც შესაძლოა დაზარალდა, შემოიფარგლებოდა შემდეგით:

• ანგარიშზე ჩვენთვის მოწოდებული სახელი 
• ანგარიშთან დაკავშირებული ელფოსტის მისამართი
• დაახლოებითი ზოგადი მდებარეობა მომხმარებლის ბრაუზერის მიხედვით (ქალაქი, შტატი, ქვეყანა)
• ოპერაციული სისტემა და ბრაუზერი, რომლითაც ანგარიშზე შედიოდნენ
• მომმართავი ვებსაიტები
• ანგარიშთან დაკავშირებული ორგანიზაციის ან მომხმარებლის ID-ები

ჩვენი რეაგირება  

უსაფრთხოების გამოძიების ფარგლებში Mixpanel ჩვენი საწარმოო სერვისებიდან ამოვიღეთ, გადავხედეთ დაზარალებულ მონაცემთა ნაკრებებს და მჭიდროდ ვმუშაობთ Mixpanel-თან და სხვა პარტნიორებთან, რათა სრულად გავიგოთ ინციდენტი და მისი მასშტაბი. ამჟამად პირდაპირ ვატყობინებთ დაზარალებულ ორგანიზაციებს, ადმინისტრატორებსა და მომხმარებლებს. მიუხედავად იმისა, რომ ვერ ვიპოვეთ მტკიცებულება Mixpanel-ის გარემოს გარეთ არსებულ სისტემებზე ან მონაცემებზე რაიმე გავლენის შესახებ, შესაძლო ბოროტად გამოყენების ნიშნებს კვლავ ყურადღებით ვაკვირდებით. 

ნდობა, უსაფრთხოება და კონფიდენციალურობა ჩვენი პროდუქტების, ორგანიზაციისა და მისიის საფუძველია. ჩვენ ერთგულნი ვართ გამჭვირვალობისადმი და ვატყობინებთ ყველა დაზარალებულ კლიენტსა და მომხმარებელს. ასევე ჩვენს პარტნიორებსა და მომწოდებლებს ვაკისრებთ მათი სერვისების უსაფრთხოებისა და კონფიდენციალურობის უმაღლეს სტანდარტს. ამ ინციდენტის განხილვის შემდეგ OpenAI-მ შეწყვიტა Mixpanel-ის გამოყენება. 

Mixpanel-ის ფარგლებს გარეთ, ჩვენ ვატარებთ დამატებით და გაფართოებულ უსაფრთხოების შემოწმებებს ჩვენი მომწოდებლების ეკოსისტემაში და ვამკაცრებთ უსაფრთხოების მოთხოვნებს ყველა პარტნიორისა და მომწოდებლისთვის.

რა უნდა გაითვალისწინოთ  

ინფორმაცია, რომელიც აქ შესაძლოა დაზარალდა, შეიძლება გამოყენებულ იქნას თქვენს ან თქვენი ორგანიზაციის წინააღმდეგ ფიშინგის ან სოციალური ინჟინერიის თავდასხმების ფარგლებში. 

რადგან შეტანილი იყო სახელები, ელფოსტის მისამართები და OpenAI API-ის მეტამონაცემები (მაგ., მომხმარებლის ID-ები), გირჩევთ, ყურადღებით იყოთ სარწმუნოდ შემუშავებული ფიშინგის მცდელობებისა და სპამის მიმართ. შეგახსენებთ:

• მოულოდნელ ელფოსტასა თუ შეტყობინებებს სიფრთხილით მოეკიდეთ, განსაკუთრებით თუ ისინი ბმულებს ან დანართებს შეიცავს.
• გადაამოწმეთ, რომ ნებისმიერი შეტყობინება, რომელიც აცხადებს, რომ OpenAI-სგანაა, გამოგზავნილია OpenAI-ის ოფიციალური დომენიდან.
• OpenAI არ ითხოვს პაროლებს, API გასაღებებს ან ვერიფიკაციის კოდებს ელფოსტით, ტექსტური შეტყობინებით ან ჩატით.
• თქვენი ანგარიში დამატებით დაიცავით მრავალფაქტორიანი ავთენტიფიკაციის⁠(იხსნება ახალ ფანჯარაში) ჩართვით. 

ჩვენი პროდუქტების უსაფრთხოება და კონფიდენციალურობა უმთავრესია, და ჩვენ მტკიცედ ვიცავთ თქვენს ინფორმაციას და გამჭვირვალედ ვუკავშირდებით, როდესაც პრობლემები წარმოიშობა. მადლობა თქვენი მუდმივი ნდობისთვის. 

OpenAI

ხშირად დასმული კითხვები

რატომ იყენებდა OpenAI Mixpanel-ს?

• Mixpanel გამოიყენებოდა, როგორც მესამე მხარის ვებანალიტიკის პროვაიდერი, რათა დაგვხმარებოდა გვესმოდეს პროდუქტის გამოყენება და გაგვეუმჯობესებინა ჩვენი სერვისები ჩვენი API პროდუქტისათვის (platform.openai.com). ChatGPT‑ის მომხმარებელთა შეზღუდულ რაოდენობას, რომლებმაც დახმარების ცენტრის მეშვეობით მიმართვები გაგზავნეს ან შესული იყვნენ platform.openai.com-ზე, შესაძლოა ზემოთ აღწერილი ინფორმაცია Mixpanel-ში აღრიცხული ჰქონოდათ. ეს მომხმარებლები იმ დროსვე იდენტიფიცირებულნი იყვნენ და უკვე შეტყობინებულნი არიან.

გამოიწვია ეს OpenAI-ის სისტემებში არსებულმა მოწყვლადობამ?

• არა. ეს ინციდენტი შემოიფარგლებოდა Mixpanel-ის სისტემებით და არ მოიცავდა OpenAI-ის ინფრასტრუქტურაზე უნებართვო წვდომას.

როგორ გავიგო, დაზარალდა თუ არა ჩემი ორგანიზაცია ან მე?

• ამჟამად ვატყობინებთ დაზარალებულებს და პირდაპირ დაგიკავშირდებით თქვენ ან თქვენი ორგანიზაციის ადმინისტრატორს ელფოსტით, რათა შეგატყობინოთ.

დაზარალდა თუ არა ჩემი API მონაცემები, მოთხოვნები ან შედეგები?

• არა. ჩატის კონტენტი, მოთხოვნები, პასუხები ან API გამოყენების მონაცემები არ დაზარალებულა.

შეეხო ეს ChatGPT ანგარიშებს?

• ChatGPT‑ის ზოგიერთი მომხმარებელი, რომლებმაც დახმარების ცენტრის მეშვეობით მიმართვები გაგზავნეს ან შესული იყვნენ platform.api.com-ზე, შესაძლოა დაზარალებულიყვნენ. ისინი წინასწარ იყვნენ შეტყობინებულნი.

გამჟღავნდა თუ არა OpenAI-ის პაროლები, API გასაღებები ან გადახდის ინფორმაცია?

• არა. OpenAI-ის პაროლები, API გასაღებები, გადახდის ინფორმაცია, სახელმწიფო პირადობის დოკუმენტები და ანგარიშზე წვდომის ავტორიზაციის მონაცემები არ დაზარალებულა. გარდა ამისა, დავადასტურეთ, რომ OpenAI სერვისებისთვის სესიის token-ები, ავთენტიფიკაციის token-ები და სხვა სენსიტიური პარამეტრები არ დაზარალებულა.

მჭირდება თუ არა პაროლის განახლება ან API გასაღებების როტაცია?

• რადგან პაროლები და API გასაღებები არ დაზარალებულა, ამ ინციდენტზე რეაგირების ფარგლებში არ გირჩევთ პაროლის განახლებას ან გასაღებების როტაციას.

რას აკეთებთ ჩემი პირადი ინფორმაციისა და კონფიდენციალურობის დასაცავად?

• ჩვენ მივიღეთ დაზარალებული მონაცემთა ნაკრებები დამოუკიდებელი გადახედვისთვის და ვაგრძელებთ შესაძლო გავლენის გამოძიებას, ასევე ყურადღებით ვაკვირდებით ბოროტად გამოყენების ნებისმიერ ნიშნებს. ვატყობინებთ ყველა ინდივიდუალურად დაზარალებულ მომხმარებელსა და ორგანიზაციას და Mixpanel-თან ვმუშაობთ შემდგომი რეაგირების ნაბიჯებზე.

ამოიღეს თუ არა Mixpanel OpenAI-ის პროდუქტებიდან?

• დიახ. 

უნდა ჩავრთო თუ არა მრავალფაქტორიანი ავთენტიფიკაცია ჩემი ანგარიშისთვის?

• დიახ. მიუხედავად იმისა, რომ ამ ინციდენტში ანგარიშის ავტორიზაციის მონაცემები ან token-ები არ დაზარალებულა, როგორც უსაფრთხოების საუკეთესო პრაქტიკა, ყველა მომხმარებელს ვურჩევთ, ჩართოს მრავალფაქტორიანი ავთენტიფიკაცია საკუთარი ანგარიშების დამატებით დასაცავად. საწარმოებისა და ორგანიზაციებისთვის გირჩევთ, რომ MFA ჩართული იყოს single sign-on ფენაზე. 

თუ რამე შეიცვლება, მივიღებ შემდგომ განახლებებს?

• ჩვენ ერთგულნი ვართ გამჭვირვალობისადმი და თუ გამოვავლენთ ახალ ინფორმაციას, რომელიც მნიშვნელოვნად ეხება დაზარალებულ მომხმარებლებს, საქმის კურსში ჩაგაყენებთ. ასევე განვაახლებთ ამ FAQ-ს. 

არის ვინმე, ვისაც შემიძლია მივმართო, თუ კითხვები მაქვს?

• თუ გაქვთ შეკითხვები, შეშფოთება ან უსაფრთხოებასთან დაკავშირებული საკითხები, შეგიძლიათ დაუკავშირდეთ ჩვენი მხარდაჭერის გუნდს მისამართზე mixpanelincident@openai.com⁠.