OpenAI แจ้งเตือนลูกค้า API หลังข้อมูลรั่วไหลผ่าน 3rd-Party Analytics ที่ถูกแฮก

OpenAI ประกาศแจ้งเตือนลูกค้า ChatGPT API บางส่วนหลังพบว่าข้อมูลระบุตัวตนบางรายการถูกเปิดเผยจากเหตุการณ์ถูกโจมตีของ Mixpanel ผู้ให้บริการ Analytics ที่เป็น 3rd-party

Mixpanel เป็นบริการวิเคราะห์ข้อมูลที่ OpenAI ใช้สำหรับติดตามการโต้ตอบของผู้ใช้งานบนหน้า frontend ของผลิตภัณฑ์ API โดยเหตุการณ์นี้เกิดจากการโจมตีแบบ Smishing (SMS Phishing) ที่ Mixpanel ตรวจพบเมื่อ 8 พฤศจิกายน 2025 และ OpenAI ได้รับรายละเอียดของข้อมูลที่ได้รับผลกระทบเมื่อ 25 พฤศจิกายน ทั้งนี้ OpenAI ยืนยันว่าเหตุการณ์นี้กระทบเฉพาะผู้ใช้งาน API เท่านั้น ไม่รวมถึงผู้ใช้งาน ChatGPT หรือผลิตภัณฑ์อื่นๆ

ข้อมูลที่อาจถูกเปิดเผยประกอบด้วย ชื่อบัญชี API, อีเมลที่ผูกกับบัญชี, ตำแหน่งที่ตั้งโดยประมาณ (เมือง รัฐ ประเทศ), ระบบปฏิบัติการและ browser ที่ใช้, เว็บไซต์ที่ refer มา และ Organization/User ID ที่ผูกกับบัญชี อย่างไรก็ตาม OpenAI ระบุว่าไม่มีข้อมูลสำคัญใดถูกเปิดเผย ไม่ว่าจะเป็นประวัติการ chat, API requests, ข้อมูลการใช้งาน API, รหัสผ่าน, credentials, API keys, ข้อมูลการชำระเงิน หรือเอกสารราชการ ดังนั้นผู้ใช้งานไม่จำเป็นต้องรีเซ็ตรหัสผ่านหรือสร้าง API key ใหม่

นอกจากนี้ OpenAI ได้เริ่มการสอบสวนเพื่อประเมินขอบเขตผลกระทบทั้งหมด และได้นำ Mixpanel ออกจากระบบ production แล้วเป็นมาตรการป้องกัน พร้อมทั้งแจ้งเตือนองค์กร ผู้ดูแลระบบ และผู้ใช้งานรายบุคคลโดยตรง บริษัทเตือนว่าข้อมูลที่รั่วไหลอาจถูกนำไปใช้ในการโจมตีแบบ Phishing หรือ Social Engineering จึงแนะนำให้ผู้ใช้งานระวังข้อความที่ดูน่าเชื่อถือแต่เป็นอันตราย โดยเฉพาะที่มีลิงก์หรือไฟล์แนบ รวมถึงเปิดใช้งาน 2FA และไม่ส่งข้อมูลสำคัญใดๆ ผ่านอีเมล ข้อความ หรือ chat

ที่มา: https://www.bleepingcomputer.com/news/security/openai-discloses-api-customer-data-breach-via-mixpanel-vendor-hack/