Ces derniers jours de nombreux utilisateurs de ChatGPT dans le monde entier ont reçu de manière inattendue un avis d'alerte de sécurité d'OpenAI concernant le risque de fuite de données.
Les informations initiales ont facilement inquiété les utilisateurs mais OpenAI a rapidement clarifié la nature de l'incident affirmant que la majorité des utilisateurs n'étaient pas affectés et que les données importantes étaient toujours protégées.
Selon l'explication d'OpenAI sur le site officiel l'incident ne provient pas du système de l'entreprise mais est lié à Mixpanel un partenaire d'analyse de données utilisé par OpenAI pour suivre les activités sur le tableau de bord API.
C'est aussi la raison pour laquelle les personnes qui utilisent uniquement ChatGPT via une application ou un site web ne sont pas affectées.
Les données telles que l'historique des conversations le mot de passe le verrouillage de l'API les informations de paiement ou le contenu des messages ne sont pas dans la zone de fuite.
Le groupe d'utilisateurs susceptibles d'être affectés est limité aux comptes utilisant l'API via la plateforme platform.openai.com.
Selon OpenAI certaines de leurs données de niveau de dossier pourraient avoir été envoyées au journal de sortie de Mixpanel.
Ces informations comprennent le nom d'utilisateur du compte API l'adresse e-mail associée l'emplacement exact basé sur les données du navigateur le système d'exploitation et le navigateur utilisés le site Web de présentation ainsi que l'identifiant de l'utilisateur ou l'organisation interne.
Ce sont tous des groupes de données qui ne sont pas très sensibles mais qui sont toujours avertis par OpenAI pour assurer la transparence.
Immédiatement après avoir détecté l'incident OpenAI a déclaré avoir supprimé Mixpanel de l'ensemble du système de production et lancé une enquête approfondie pour déterminer la portée de l'impact.
Dans le même temps l'entreprise contacte directement les organisations et les administrateurs des comptes API concernés pour les aider à vérifier si un membre est concerné ou non.
Certains rapports suggèrent que les employés de grands groupes comme Apple pourraient faire partie des utilisateurs d'API dont les informations ont été divulguées.
Cependant OpenAI souligne qu'il n'y a pas de données de clients ni d'informations sensibles d'organisations qui ont été violées lors de cet incident.
La décision d'OpenAI d'envoyer un avertissement à tous les utilisateurs de ChatGPT bien que la majeure partie ne soit pas affectée découle de l'objectif d'éviter les malentendus et d'empêcher la propagation d'informations inexactes.
L'entreprise veut s'assurer que chacun ait une vision correcte du niveau réel de risque.
Pour les utilisateurs habituels de ChatGPT qui n'utilisent que l'application ou le site web pour discuter cette notification ne signifie aucun risque pour les données personnelles.
Inversement il est considéré comme une démarche proactive visant à renforcer la confiance des utilisateurs dans la manière dont OpenAI traite les problèmes liés à la sécurité.
Pour les développeurs d'API qui ont reçu l'avis OpenAI leur recommande de revoir les instructions détaillées dans l'e-mail et de continuer à suivre les mises à jour de l'entreprise lorsque le processus d'enquête continue d'être déployé.
