OpenAI попал под раздачу чужого фишинга

OpenAI снова в заголовках, но на этот раз не из-за взбесившегося ИИ или новой магической модели. Компания вынуждена рассылать уведомления владельцам API-аккаунтов: часть их данных тихо утекла через дыру у стороннего подрядчика — Mixpanel. То есть OpenAI стоял рядом, но всё равно попал под шальную пулю смишинга.

Mixpanel — это сервис аналитики, который OpenAI использует, чтобы понимать, кто и как трогает их API-интерфейсы. Никакой телеметрии мыслей ChatGPT, никаких логов переписок, ключей, платежек или госдоков — просто цифровые отпечатки пользователей API. И вроде как всё это безобидно, пока ты не осознаешь, что даже такой «мусор» для грамотного социальной дичи — золото.

OpenAI подчёркивает, что хакнули не их. Системы компании не трогали, внутрь никто не залезал, секретные соус-рецепты GPT не лежат на чёрных рынках. Удар пришёлся строго по Mixpanel. Тамошняя команда словила смishing: кому-то прилетела липовая SMS-ка, человек кликнул, злоумышленник влез, и понеслось. Сценарий классики жанра: социальная инженерия 101, но с бонусом в виде данных крупного клиента.

Пока что OpenAI говорит, что утекающие куски могут включать имя, почту, примерную локацию, браузер и ОС, ID пользователя, а также сайты, с которых приходили запросы. По сути, это стартовый пакет, который любой фишер может превратить в убедительную легенду. «Здравствуйте, мы из OpenAI Security, срочно нужно подтвердить ваш API ключ…». Кому страшно — поднимите руки. И поменяйте привычки.

Для ясности: пересоздавать ключи, менять пароли или бросать ноутбук в реку не требуется. Но расслабляться тоже рано — теперь вполне возможно, что API-шники станут целью точечных атак. Люди уже сообщают, что не только OpenAI — CoinTracker тоже зацепило, и там даже упоминались метаданные устройства и число транзакций. Такое уже не просто песок, а полуготовое сырьё для атакующих аналитиков.

OpenAI в ответ делает стандартный кибер-танец: расследует утечку, отрубается от Mixpanel, шлёт предупреждения всем подряд, независимо от того, попали они в выборку или нет. И рекомендует строгое «не верить никому, кроме официальных доменов». Ну и как минимум включить 2FA, не слать пароли и ключи куда попало, и помнить, что мир давно стал небезопасным местом. Особенно для людей, которые пишут код, а не читают смски внимательно.

Mixpanel, судя по публичной позиции, тоже старается выглядеть прилично: CEO заявила, что всех пострадавших уже уведомили, остальные могут спать спокойно. Внутри они сбросили сессии, поменяли ключи, закрыли доступы, заблокировали IP, ну и в лучших традициях — «добавили новые контроли безопасности». Каждая компания обещает это после удара, вопрос только в том, кто успеет до следующего.

Ситуация — чистый кибер-мем: большие AI-гиганты строят супер-мозги, защищают их стенами из криптографии и zero-trust-архитектуры, а падают всё равно не от взлома систем, а из-за того, что кто-то поверил SMS-ке.