Жуырдағы Mixpanel қауіпсіздік оқиғасы туралы не білу керек

2025 жылғы 19 желтоқсандағы нақтылау: Зардап шеккен пайдаланушылар сипаттамасын нақтылау үшін блогты жаңартып жатырмыз. Бастапқы блогта «API пайдаланушылары» зардап шекті деп айтылған еді. Оған мынадай толықтыру енгізілді: «Бұл сондай-ақ анықтама орталығына тикет жіберген немесе platform.openai.com⁠(жаңа терезеде ашылады) жүйесіне кірген ChatGPT пайдаланушыларының шектеулі санына да әсер етті.» Зардап шеккен барлық пайдаланушылар бастапқы хабарландыру аясында бір уақытта анықталып, хабардар етілді. Осы нақтылаудан бөлек, оқиға туралы түсінігімізде, соның ішінде қатысы бар ақпарат түріне қатысты, басқа ештеңе өзгерген жоқ. 

Ашықтық біз үшін маңызды, сондықтан OpenAI API өніміміздің алдыңғы интерфейсінде веб-аналитика үшін пайдаланған деректер аналитикасы провайдері Mixpanel-дегі жуырдағы қауіпсіздік оқиғасы туралы сізге хабарлағымыз келеді (platform.openai.com⁠(жаңа терезеде ашылады)). 

Оқиға Mixpanel жүйелерінің ішінде болды және API-дің кейбір пайдаланушыларына қатысты шектеулі аналитикалық деректерді қамтыды. Бұл сондай-ақ анықтама орталығына тикет жіберген немесе platform.openai.com жүйесіне кірген ChatGPT пайдаланушыларының шектеулі санына да әсер етті.

Бұл OpenAI жүйелерінің бұзылуы емес еді. Ешбір чат, API сұраулары, API пайдалану деректері, құпиясөздер, тіркелгі деректері, API кілттері, төлем мәліметтері немесе мемлекеттік куәлік деректері бұзылған не әшкереленген жоқ.

Не болды

2025 жылғы 9 қарашада Mixpanel өз жүйелерінің бір бөлігіне рұқсатсыз қол жеткізіп, тұтынушыларға қатысты шектеулі сәйкестендірілетін ақпарат пен аналитикалық ақпаратты қамтитын деректер жиынтығын сыртқа шығарған шабуылдаушыны анықтады. Mixpanel OpenAI-ге тергеу жүргізіп жатқанын хабарлады, ал 2025 жылғы 25 қарашада олар бізбен зардап шеккен деректер жиынтығын бөлісті. 

Бұл зардап шеккен пайдаланушылар үшін нені білдіреді

platform.openai.com⁠(жаңа терезеде ашылады) пайдалануына байланысты пайдаланушы профилі ақпараты Mixpanel-ден шығарылған деректерге кіруі мүмкін. Зардап шеккен болуы мүмкін ақпарат мыналармен шектелді:

• Тіркелгіде бізге берілген аты-жөні 
• Тіркелгімен байланысты электрондық пошта мекенжайы
• Пайдаланушы браузеріне негізделген жуық жалпы орналасқан жері (қала, штат/облыс, ел)
• Тіркелгіге кіру үшін пайдаланылған операциялық жүйе мен браузер
• Сілтеме жасаған веб-сайттар
• Тіркелгімен байланысты ұйым немесе пайдаланушы идентификаторлары

Біздің әрекетіміз  

Қауіпсіздік тергеуіміз аясында біз Mixpanel-ді өндірістік сервистерімізден алып тастадық, зардап шеккен деректер жиынтықтарын қарап шықтық және оқиғаны және оның ауқымын толық түсіну үшін Mixpanel және басқа серіктестермен тығыз жұмыс істеп жатырмыз. Біз қазір зардап шеккен ұйымдарға, әкімшілерге және пайдаланушыларға тікелей хабарлау үдерісін жүргізіп жатырмыз. Mixpanel ортасынан тыс жүйелерге немесе деректерге қандай да бір әсер болғанының дәлелін таппағанымызбен, теріс пайдаланудың кез келген белгілерін мұқият бақылауды жалғастырып жатырмыз. 

Сенім, қауіпсіздік және құпиялылық — өнімдеріміздің, ұйымымыздың және миссиямыздың негізі. Біз ашықтықты ұстанамыз және зардап шеккен барлық клиенттер мен пайдаланушыларға хабарлап жатырмыз. Сондай-ақ серіктестеріміз бен жеткізушілерімізден өз қызметтерінің қауіпсіздігі мен құпиялылығы бойынша ең жоғары талапқа сай болуды талап етеміз. Осы оқиғаны қарап шыққаннан кейін OpenAI Mixpanel-ді пайдалануды тоқтатты. 

Mixpanel-ден бөлек, біз жеткізушілер экожүйеміз бойынша қосымша әрі кеңейтілген қауіпсіздік тексерулерін жүргізіп жатырмыз және барлық серіктестер мен жеткізушілер үшін қауіпсіздік талаптарын күшейтіп жатырмыз.

Нені есте ұстаған жөн  

Бұл жерде зардап шеккен болуы мүмкін ақпарат сізге немесе ұйымыңызға қарсы фишинг немесе әлеуметтік инженерия шабуылдарының бір бөлігі ретінде пайдаланылуы мүмкін. 

Аты-жөндер, электрондық пошта мекенжайлары және OpenAI API метадеректері (мысалы, пайдаланушы идентификаторлары) қамтылғандықтан, шынайы көрінетін фишинг әрекеттеріне немесе спамға сақ болуға шақырамыз. Еске сала кетсек:

• Күтпеген электрондық хаттар мен хабарламаларға, әсіресе оларда сілтемелер немесе тіркемелер болса, сақтықпен қараңыз.
• OpenAI-ден келген деп көрсетілген кез келген хабарлама ресми OpenAI доменінен жіберілгенін қайта тексеріңіз.
• OpenAI электрондық пошта, мәтіндік хабарлама немесе чат арқылы құпиясөздерді, API кілттерін немесе растау кодтарын сұрамайды.
• көпфакторлы аутентификацияны⁠(жаңа терезеде ашылады) қосу арқылы тіркелгіңізді қосымша қорғаңыз. 

Өнімдеріміздің қауіпсіздігі мен құпиялылығы аса маңызды, және мәселелер туындағанда ақпаратыңызды қорғау мен ашық хабарлауды табандылықпен жалғастырамыз. Бізге деген тұрақты сеніміңіз үшін рақмет. 

OpenAI

ЖҚС

OpenAI неге Mixpanel-ді пайдаланды?

• Mixpanel API өніміміз (platform.openai.com) үшін өнімнің қалай пайдаланылатынын түсінуге және қызметтерімізді жақсартуға көмектесетін үшінші тарап веб-аналитика провайдері ретінде пайдаланылды. Анықтама орталығы арқылы тикет жіберген немесе platform.openai.com жүйесіне кірген ChatGPT пайдаланушыларының шектеулі саны туралы жоғарыда сипатталған ақпаратты Mixpanel тіркеген болуы мүмкін. Бұл пайдаланушылар сол кезде анықталып, оларға бұған дейін хабарланған.

Бұл OpenAI жүйелеріндегі осалдықтан болды ма?

• Жоқ. Бұл оқиға Mixpanel жүйелерімен ғана шектелді және OpenAI инфрақұрылымына рұқсатсыз қол жеткізуді қамтыған жоқ.

Ұйымыма немесе маған әсер еткенін қалай білемін?

• Қазір біз зардап шеккендерге хабарлау үдерісін жүргізіп жатырмыз және сізге немесе ұйымыңыздың әкімшісіне хабарлау үшін электрондық пошта арқылы тікелей хабарласамыз.

API деректеріме, көмексөздеріме немесе шығыстарыма әсер етті ме?

• Жоқ. Чат мазмұнына, көмексөздерге, жауаптарға немесе API пайдалану деректеріне әсер еткен жоқ.

Бұдан ChatGPT тіркелгілеріне әсер етті ме?

• Анықтама орталығы арқылы тикет жіберген немесе platform.api.com жүйесіне кірген кейбір ChatGPT пайдаланушыларына әсер еткен болуы мүмкін. Оларға бұған дейін хабарланған болатын.

OpenAI құпиясөздері, API кілттері немесе төлем ақпараты әшкереленді ме?

• Жоқ. OpenAI құпиясөздеріне, API кілттеріне, төлем ақпаратына, мемлекеттік куәлік деректеріне және тіркелгіге кіру тіркелгі деректеріне әсер еткен жоқ. Сонымен қатар, OpenAI қызметтеріне арналған сессия токендеріне, аутентификация токендеріне және басқа да сезімтал параметрлерге әсер етпегенін растадық.

Құпиясөзімді қалпына келтіруім немесе API кілттерімді ауыстыруым керек пе?

• Құпиясөздер мен API кілттеріне әсер етпегендіктен, осы оқиғаға жауап ретінде оларды қалпына келтіруді немесе кілттерді ауыстыруды ұсынбаймыз.

Жеке ақпаратым мен құпиялылығымды қорғау үшін не істеп жатырсыздар?

• Тәуелсіз тексеру үшін зардап шеккен деректер жиынтықтарын алдық және ықтимал әсерді тергеуді жалғастырып, теріс пайдаланудың кез келген белгілерін мұқият бақылап отырмыз. Біз жеке зардап шеккен барлық пайдаланушылар мен ұйымдарға хабарлап жатырмыз және кейінгі әрекеттер бойынша Mixpanel-мен байланыстамыз.

Mixpanel OpenAI өнімдерінен алынып тасталды ма?

• Иә. 

Тіркелгім үшін МФА (көпфакторлы аутентификация) қосудым керек пе?

• Иә. Бұл оқиғада тіркелгі деректері не токендерге әсер етпегенімен, қауіпсіздіктің үздік тәжірибесі ретінде барлық пайдаланушыларға тіркелгілерін қосымша қорғау үшін МФА (көпфакторлы аутентификация) қосуды ұсынамыз. Кәсіпорындар мен ұйымдар үшін МФА (көпфакторлы аутентификация) бір реттік кіру қабатында қосылғанын ұсынамыз. 

Бірдеңе өзгерсе, қосымша жаңартулар аламын ба?

• Біз ашықтықты ұстанамыз және зардап шеккен пайдаланушыларға елеулі әсер ететін жаңа ақпарат анықталса, сізді хабардар етіп отырамыз. Сондай-ақ осы ЖҚС-ты жаңартамыз. 

Сұрақтарым болса, кімге хабарласа аламын?

• Егер сұрақтарыңыз, алаңдаушылықтарыңыз немесе қауіпсіздік мәселелеріңіз болса, біздің қолдау көрсету тобына mixpanelincident@openai.com⁠ мекенжайы арқылы хабарласа аласыз.