X
דעה

דליפת המידע מ-ChatGPT: מי צריך לדאוג - ומה לעשות?

דליפת נתונים אצל ספק אנליטיקה חשפה מידע על משתמשים של OpenAI, המפתחת של ChatGPT • התקרית מזכירה: לא משנה כמה אתם מאובטחים - טעות אנוש יכולה להיות החוליה החלשה, גם אם היא לא שלכם

יצחק גולדסטנד
, עודכן
0השמעה

המהפכה השלמה: כך הפכה OpenAI מסטארט-אפ לכלי שמשרת מיליארד משתמשים בשלוש שנים // יובל קחלון

הרשת גועשת סביב "פרצת האבטחה של OpenAI", אך חשוב לדייק: זו אינה תקרית של OpenAI אלא תקרית של Mixpanel, ספקית אנליטיקות חיצונית ש-OpenAI השתמשה בה. OpenAI הייתה הלקוח שנפגע, לא הגוף שנפרץ. מבחינה מקצועית, הדגש הזה קריטי להבנת האירוע, למידת האחריות ולמסקנות קדימה.

מהרגע שבו OpenAI למדה על התקרית, היא ניתקה את הקשר עם Mixpanel בתוך ימים ספורים והוציאה הודעה שקופה למשתמשים. מנגד, Mixpanel הודתה באיחור שמקור הדליפה הוא ככל הנראה מתקפת פישינג ו-SMS שכוונה פנימה. כלומר, תקיפה שניצלה שגיאה אנושית - והצליחה.

שני אירועים בולטים עולים כאן. הראשון הוא שבסופו של דבר, התקפות רבות מצליחות כאשר אדם טועה. נכון להיום אין מנגנון שמצליח למנוע לחלוטין טעויות אנוש בארגון גדול. השני הוא שבכל שרשרת אספקה טכנולוגית יש בני אדם. המשמעות היא שגם אם החברה שלך ממוגנת היטב, חוליה חלשה אצל ספק חיצוני עלולה לפתוח דלת אחורית לתוקפים.

הנתונים שנחשפו נחשבים מוגבלים יחסית: שמות, אימיילים, מיקומים כלליים, מזהי משתמש ודפוסי שימוש. לא מדובר בתוכן של בקשות API או במידע עסקי רגיש. יחד עם זאת, השילוב של כתובת אימייל ומאפייני שימוש יכול בהחלט לשמש בסיס להתקפות פישינג ממוקדות ואמינות יותר.

ההודעה שנשלחה ללקוחות OpenAI, צילום: צילום מסך

אז מי צריך לדאוג?

בעיקר ארגונים שמשתמשים בכלים דיגיטליים לצד גורמי צד שלישי. כלומר, כמעט כולם. גם אם מדובר באירוע שאינו מהותי ברמת הנזק הישיר, הוא מזכיר כמה קל לחדור דרך ספק חיצוני. משתמשים פרטיים צריכים להיות ערניים להודעות חשודות, אך זו אינה סיבה לבהלה.

מה צריך לעשות עכשיו?

ראשית, לשמור על מודעות. להיזהר מאימיילים שנראים כאילו הם מגיעים מ-OpenAI ,Mixpanel או כל גוף טכנולוגי מוכר, במיוחד אם יש בהם קישורים או בקשות אישור חריגות. שנית, ארגונים צריכים לוודא שכל ספק חיצוני שלהם עומד בסטנדרטים מחמירים של אבטחת מידע, כולל אימות רב שכבתית לכל העובדים. שלישית, לחזק את רענון הנהלים הפנימיים למניעת טעויות אנוש - הסיבה המובילה לאירועי אבטחה בעולם.

מה זה אומר על העתיד?

האירוע הזה הוא הוכחה חיה לכך שמודלים מודרניים כמו Zero Trust, אבטחה רב שכבתית ו-defense in depth אינם סיסמאות אלא צורך קיומי. תפיסת האבטחה העתידית לא יכולה להסתמך על חומת מגן אחת. כל שכבה צריכה לתפקד כקו הגנה עצמאי לעצירת תוקף לפני שהוא מתקדם לעומק הרשת.

מי שחזק ביישום של גישה זו יקטין משמעותית את הנזק במקרה של פרצה, גם אם היא תגיע מספק חיצוני. מי שלא, ימשיך להיות חשוף לתרחישים כאלה, שגם אם אינם דרמטיים, בהחלט יכולים להתפתח.

המסר המרכזי: לא משנה כמה מתקדמת הטכנולוגיה שלך. בסוף שרשרת האבטחה מתחילה ונגמרת באנשים. לכן, האחריות של כל ארגון היא לצמצם ככל האפשר את טווח הטעות האנושית ולהגן על עצמו גם מפני טעויות שלא נעשו אצלו.

הכותב הוא Field CTO בחברת קלאודאקס מקבוצת CodeValue

טעינו? נתקן! אם מצאתם טעות בכתבה, נשמח שתשתפו אותנו

יצחק גולדסטנד

Field CTO בחברת קלאודאקס מקבוצת CodeValue

OpenAIטכנולוגיהסייברפישינג

כדאי להכיר