Fuite de données concernant les utilisateurs de l’API d’OpenAI

L'entreprise de Sam Altman vient de publier un texte expliquant que les données d'utilisateurs de son API via l'OpenAI Platform ont fuité.

Selon OpenAI, cette fuite concerne :

• Le nom fourni pour le compte API ;
• l'adresse e-mail associée au compte API ;
• la localisation approximative basée sur le navigateur de l'utilisateur API (ville, état, pays) ;
• le système d'exploitation et le navigateur utilisés pour accéder au compte API ;
• les sites web référents ;
• les identifiants d'organisation ou d'utilisateur associés au compte API.

L'entreprise pointe du doigt un de ses sous-traitants : Mixpanel. Celui-ci se serait aperçu le 9 novembre qu'un pirate aurait eu accès à une partie de ses systèmes et exporté un ensemble de données. Mixpanel a informé OpenAI qu'elle enquêtait sur cette fuite et a ensuite partagé le jeu de données concerné avec le créateur de ChatGPT le 25 novembre.

OpenAI explique qu'elle continue à travailler sur le sujet avec MixPanel et d'autres partenaires mais que Mixpanel ne fait d'ores et déjà plus partie de ses sous-traitants.

Dans sa communication, OpenAI affirme qu' « aucune conversation, requête API, donnée d'utilisation API, mot de passe, identifiant, clé API, détail de paiement ou pièce d'identité officielle n'a été compromis ou divulgué ».

Elle ajoute qu'elle ne recommande donc pas de réinitialisation de mot de passe ou de rotation des clés en réponse à cet incident. L'entreprise incite par contre ses utilisateurs à activer l'authentification multifacteur en tant que bonne pratique.

OpenAI assure qu'elle va informer tous les utilisateurs et organisations concernés individuellement et qu'elle reste en contact avec Mixpanel afin de déterminer les mesures à prendre.