મોટો સાયબર હુમલો! ChatGPTનો થર્ડ-પાર્ટી પાર્ટનર ‘હેક’, લાખો યુઝર્સના નામ-ઈમેલ એડ્રેસ લીક, OpenAIએ આપી ગંભીર ચેતવણી

લાખો યુઝર્સ પર સાયબર હુમલાનો ભય: ChatGPT APIનો ડેટા ચોરાયો, ફિશિંગનું જોખમ વધ્યું

આર્ટિફિશિયલ ઇન્ટેલિજન્સ (AI) ક્ષેત્રની અગ્રણી કંપની OpenAI, જેણે ChatGPT બનાવ્યું છે, તેણે તાજેતરમાં એક મોટી ડેટા લીકની ઘટનાની પુષ્ટિ કરી છે. આ સુરક્ષા ભંગ (Security Breach) સીધો OpenAIની સિસ્ટમમાં નહીં, પરંતુ તેના એક મહત્ત્વપૂર્ણ થર્ડ-પાર્ટી ડેટા એનાલિટિક્સ પ્રોવાઇડર, મિક્સપૅનલ (Mixpanel)માં થયો છે. કંપનીએ સ્વીકાર્યું છે કે આ ઉલ્લંઘનને કારણે તેના કેટલાક API (એપ્લિકેશન પ્રોગ્રામિંગ ઇન્ટરફેસ) પ્રોડક્ટ્સનો ઉપયોગ કરતા ગ્રાહકોનો મહત્ત્વપૂર્ણ વ્યક્તિગત ડેટા લીક થઈ ગયો છે.

આ ઘટના ટેક જગતમાં થર્ડ-પાર્ટી વેન્ડર સુરક્ષાના મહત્ત્વ પર ભાર મૂકે છે, જ્યાં એક સહયોગીની નબળી કડી મોટા ટેક જાયન્ટ્સના લાખો યુઝર્સના ડેટાને જોખમમાં મૂકી શકે છે. OpenAIએ અસરગ્રસ્ત યુઝર્સને તાત્કાલિક ગંભીર ચેતવણી જારી કરી છે, જેમાં ફિશિંગ (Phishing) અને અન્ય સાયબર હુમલાઓના સંભવિત ખતરા સામે સતર્ક રહેવા જણાવાયું છે.

શું હતી ઘટના અને કોણ પ્રભાવિત થયા?

OpenAIના જણાવ્યા અનુસાર, આ ડેટા લીક આ જ મહિને થયું, જ્યારે એક હુમલાખોરે Mixpanelની સિસ્ટમમાં ઘૂસીને ડેટા એક્સપોર્ટ કરી લીધો. Mixpanel એક ડેટા એનાલિટિક્સ સેવા છે, જેનો ઉપયોગ OpenAI તેના API પ્રોડક્ટ્સના પ્રદર્શન અને યુઝર ઇન્ટરેક્શનનું વિશ્લેષણ કરવા માટે કરતી હતી.

કોણ અસરગ્રસ્ત થયા?

પોસ્ટપેડમાં સ્વિચ કરવાનું વિચારી રહ્યા છો? જાણો Airtel, Jio અને Viમાંથી કોનો એન્ટ્રી લેવલ પ્લાન છે તમારા માટે બેસ્ટ

એરટેલના ‘VIP ઇન્ટરનેટ’ પ્લાનને મળી મોટી રાહત, TRAIની તપાસમાં ન મળી કોઈ ગરબડ!

OpenAIએ સ્પષ્ટ કર્યું છે કે આ સુરક્ષા ભંગથી તેના મુખ્ય ChatGPT પ્લેટફોર્મના યુઝર્સ અને OpenAIની આંતરિક સિસ્ટમ પ્રભાવિત થયા નથી. આ લીક ખાસ કરીને એવા યુઝર્સ સાથે સંબંધિત છે જેઓ OpenAIના API પ્રોડક્ટ્સ (જેમ કે GPT-4 અથવા GPT-3.5 માટેના API)નો ઉપયોગ કરે છે. આ APIનો ઉપયોગ મુખ્યત્વે ડેવલપર્સ, કંપનીઓ અને એન્ટરપ્રાઇઝ ગ્રાહકો કરે છે, જેઓ OpenAIના AI મોડેલ્સને તેમની એપ્લિકેશન્સ અને સેવાઓમાં એકીકૃત કરે છે.

લીક થયેલા ડેટાની વિગતો

લીક થયેલા ડેટાના સ્વરૂપ વિશે OpenAIએ વિગતવાર માહિતી આપી છે. કંપનીના મતે, હુમલાખોરોએ API એકાઉન્ટ્સની પ્રોફાઇલ-લેવલ વિગતો મેળવી છે, જેમાં નીચેની માહિતી શામેલ છે:

• એકાઉન્ટનું નામ (Account Name)

• ઈમેલ એડ્રેસ (Email Address)

• સ્થાનની માહિતી: શહેર, રાજ્ય અને દેશ (City, State, and Country)

• તકનીકી માહિતી: ઓપરેટિંગ સિસ્ટમ (OS) અને બ્રાઉઝરની માહિતી

• રેફરિંગ વેબસાઇટ્સ (Referring Websites)

• સંસ્થા (Organization) અને યુઝર આઈડી (User ID)

OpenAIએ દાવો કર્યો છે કે યુઝર્સ સાથે સંબંધિત સંવેદનશીલ અને ઓથેન્ટિકેશન સંબંધિત માહિતી (જેમ કે પાસવર્ડ, પેમેન્ટ વિગતો અથવા API Key) લીક થઈ નથી. આ રાહતની વાત છે, પરંતુ લીક થયેલી પ્રોફાઇલ અને ઈમેલ માહિતી પણ ફિશિંગ હુમલાઓ માટે પૂરતી છે.

કંપનીની પ્રતિક્રિયા અને તાત્કાલિક પગલાં

OpenAIને 25 નવેમ્બરના રોજ આ ડેટા લીકની જાણ થઈ, જેના પછી કંપનીએ તુરંત કડક પગલાં લેવાનું શરૂ કરી દીધું.

Realmeનો મોન્સ્ટર બેટરી ફોન આ દિવસે થશે લોન્ચ, મળશે 3 દિવસનો પાવર બેકઅપ અને ધાસુ ફીચર્સ

₹15 હજાર સસ્તો થયો Vivoનો દમદાર ફ્લેગશિપ ફોન, 50MP Zeiss કેમેરા અને 6200mAh બેટરીએ મચાવી ધૂમ

• Mixpanelને હટાવવું: કંપનીએ પ્રથમ પગલું ભરતા Mixpanelને તેની પ્રોડક્શન સિસ્ટમમાંથી સંપૂર્ણપણે હટાવી દીધું છે.

• વેન્ડરનું ઓડિટ: OpenAI હવે તેની સમગ્ર થર્ડ-પાર્ટી વેન્ડર ઇકોસિસ્ટમનું ઊંડું ઓડિટ કરી રહી છે, જેથી ભવિષ્યમાં આવી ઘટનાઓ ન બને તેની ખાતરી કરી શકાય.

• સુરક્ષા ધોરણો કડક કરવા: કંપનીએ જાહેરાત કરી છે કે તે તેના બધા થર્ડ-પાર્ટી પાર્ટનર્સ માટે સુરક્ષા વ્યવસ્થાઓની જરૂરિયાતને વધુ કડક બનાવશે.

• અસરગ્રસ્તોને સૂચના: કંપનીએ ડેટા લીકથી પ્રભાવિત તમામ કંપનીઓ, એડમિન્સ અને વ્યક્તિગત યુઝર્સને આ ઉલ્લંઘન વિશે જાણ કરવાનું શરૂ કરી દીધું છે.

અસરગ્રસ્ત યુઝર્સ માટે OpenAIની મહત્ત્વપૂર્ણ ચેતવણી

લીક થયેલા ડેટાનો સૌથી મોટો ખતરો ફિશિંગ (Phishing) અને **લક્ષિત સાયબર હુમલાઓ (Targeted Cyber Attacks)**ના રૂપમાં સામે આવે છે. હુમલાખોરો હવે યુઝર્સની લીક થયેલી પ્રોફાઇલ માહિતીનો ઉપયોગ કરીને તેમને છેતરવાનો પ્રયાસ કરી શકે છે.

OpenAIએ અસરગ્રસ્ત યુઝર્સ માટે નીચેની ગંભીર ચેતવણીઓ અને સુરક્ષા માર્ગદર્શિકા જારી કરી છે:

1. અત્યંત સાવધાની: યુઝર્સે OpenAI તરફથી આવતા કોઈપણ ઈમેલ અંગે ખાસ સાવધાની રાખવાની જરૂર છે.

2. શંકાસ્પદ લિન્ક અને એટેચમેન્ટ: એવા કોઈપણ ઈમેલથી સતર્ક રહેવાની જરૂર છે, જેમાં કોઈ શંકાસ્પદ લિન્ક (Suspicious Link) આપવામાં આવી હોય અથવા કોઈ એટેચમેન્ટ ખોલવા માટે કહેવામાં આવ્યું હોય. ફિશિંગ ઈમેલ ઘણીવાર નકલી લિન્ક દ્વારા યુઝર્સના લોગિન ક્રેડેન્શિયલ્સ ચોરવાનો પ્રયાસ કરે છે.

3. વ્યક્તિગત માહિતી ન આપો: જો કોઈ ઈમેલ દ્વારા તમારી પાસેથી કોઈ વ્યક્તિગત કે સંવેદનશીલ માહિતી (Personal Information) માંગવામાં આવી હોય, તો તેને બિલકુલ શેર ન કરો.

4. OpenAIનો સુરક્ષા નિયમ: કંપનીએ સ્પષ્ટ કર્યું છે કે તે તેના યુઝર્સ પાસેથી ક્યારેય પણ તેમનો પાસવર્ડ, API Key, કે વેરિફિકેશન કોડ પૂછતી નથી. તેથી, જો કોઈ ઈમેલ આ વિગતોની માંગ કરે, તો તે ચોક્કસપણે એક દૂષિત ફિશિંગ પ્રયાસ છે.

નિષ્કર્ષ: થર્ડ-પાર્ટી સુરક્ષાનો પડકાર

આ ઘટના ફરી એકવાર એ વાત પર ભાર મૂકે છે કે ક્લાઉડ-આધારિત સેવાઓ અને જટિલ વેન્ડર ઇકોસિસ્ટમમાં થર્ડ-પાર્ટી સુરક્ષા કેટલી મહત્ત્વપૂર્ણ છે. ભલે OpenAIની મુખ્ય સિસ્ટમ સુરક્ષિત રહી હોય, પરંતુ એક સહયોગી વેન્ડરની નબળાઈએ તેના ગ્રાહકોના ડેટાને જોખમમાં મૂકી દીધો.

OpenAIનું તાત્કાલિક પગલું અને પારદર્શિતા પ્રશંસનીય છે. જોકે, ભવિષ્યમાં આવી ઘટનાઓને રોકવા માટે, તમામ ટેક્નોલોજી કંપનીઓએ તેમના વેન્ડર મેનેજમેન્ટ અને સાયબર સુરક્ષા ધોરણોને ઉચ્ચતમ સ્તર પર લઈ જવાની જરૂર પડશે. અસરગ્રસ્ત યુઝર્સને સલાહ આપવામાં આવે છે કે તેઓ આગામી કેટલાક અઠવાડિયા સુધી આવતા તમામ ઈમેલની કાળજીપૂર્વક તપાસ કરે અને કોઈપણ શંકાસ્પદ પ્રવૃત્તિની જાણ તરત જ OpenAIને કરે.