OpenAI казва, че няма откраднати потребителски данни, след като хакери във веригата за доставки са имали достъп до устройствата на служителите
OpenAI съобщи, че не е разкрил доказателства, че е имало достъп до потребителски данни след проблем със сигурността, обвързван с офанзива във веригата за доставки, включваща библиотеката TanStack npm с отворен код.
Компанията сподели в актуализация за сигурност, оповестена на формалния й уеб страница, че казусът е част от по-широка акция за офанзива на веригата за доставки на програмен продукт, известна като „ Mini Shai-Hulud “, която ориентирани екосистеми за разработчици с отворен код, в това число npm и PyPI.
Какво се случи?
Според аутопсия, оповестена от TanStack на 11 май, атакуващите са разгласили 84 злонамерени версии в 42 @tanstack/* npm пакета, откакто са употребявали недостатъци в работните процеси на GitHub Actions и CI/CD кеша системи.
Фирмата за киберсигурност Snyk и откриватели по сигурността, представени в отчета на Tom's Hardware, обявиха, че злонамерените пакети са предопределени да крадат идентификационни данни като GitHub токени, облачни API ключове, npm идентификационни данни и CI/CD секрети от инфектирани системи.
Атаката е част от по-широка акция, засягаща няколко екосистеми на разработчици и софтуерни планове, в това число пакети обвързван с Mistral AI, UiPath и OpenSearch, съгласно откриватели по сигурността и полемики в общността на Reddit.
Прочетете също | Сам Алтман отхвърля изказванието на Илон Мъск за „ кражба на щедрост “ в процеса на OpenAIКакво сподели OpenAI?
В формалния си отговор OpenAI сподели, че две устройства на чиновници в корпоративната среда са били наранени от офанзивата. Компанията съобщи, че е следила „ неоторизиран достъп и активност по ексфилтрация, фокусирана върху идентификационни данни “, включваща лимитирано подмножество от вътрешни складове на първоначален код, налични за тези чиновници.
OpenAI сподели в актуализация за сигурност, оповестена на формалния й уеб страница, че единствено стеснен материал за идентификационни данни е бил сполучливо ексфилтриран и че не е разкрила доказателства, че потребителски данни, индустриални системи, интелектуална благосъстоятелност или софтуерен код са били компрометирани.
Компанията добави, че е изолирани наранени системи, анулирани сесии, ротирани идентификационни данни и обновени документи за сигурност за някои артикули като защитна мярка.
Прочетете също | OpenAI, Microsoft лимитират шерването на приходите на $38 милиарда преди допустимо IPOЗащо има значение?
Инцидентът възобнови инспекцията на рисковете за сигурността във веригите за доставка на програмен продукт с отворен код, изключително в екосистеми като npm, които се употребяват необятно в софтуерната промишленост, след поредност от скорошни офанзиви, ориентирани към известни пакети с JavaScript и принадлежности за разработчици, съгласно отчети на Ars Technica и CSO Онлайн.
Академични и индустриални изследвания неведнъж предизвестяват за възходящите опасности, подбудени от злонамерени npm пакети и компрометирани сметки на поддържащи. Изследователска публикация от 2021 година, озаглавена „ Какви са слабите звена във веригата за доставки на npm? “ от откриватели от Microsoft, Държавния университет на Северна Каролина и други институции откриха, че атакуващите евентуално могат да отвлекат хиляди npm пакети посредством слаби отбрани на акаунта на поддържащия и други уязвимости в екосистемата.
Други университетски изследвания за офанзиви във веригата за доставки на програмен продукт също документираха възходяща корист с мениджъри на пакети като npm и PyPI за разпространяване на злотворен програмен продукт и компрометиране на консуматори и предприятия надолу по веригата, в това число документът от 2020 година „ Backstabber’s Knife Collection: Преглед на офанзивите на веригата за доставки на програмен продукт с отворен код “ и по-късни изследвания, изследващи откриването на злонамерени пакети в екосистемите npm и PyPI.
