OpenAI wykryła lukę w zewnętrznym module swoich produktów – bezpieczeństwo danych użytkowników nie zostało naruszone

OpenAI informuje o wykrytym zagrożeniu bezpieczeństwa i podjętych działaniach w celu jego wyeliminowania

OpenAI ogłosiła odkrycie potencjalnej luki w zewnętrznym komponencie Axios, który jest używany w kilku jej aplikacjach. W rezultacie firma musiała podjąć środki ochrony procesu certyfikacji oprogramowania na macOS.

- Brak dowodów na kompromitację

Obecnie OpenAI nie znalazła potwierdzeń, że atakujący uzyskali dostęp do danych użytkowników, zakłócili działanie systemów lub zmodyfikowali oprogramowanie.

- Jak zamknięto lukę

Firma zaktualizowała certyfikaty bezpieczeństwa i gorąco zaleca wszystkim użytkownikom aplikacji na macOS przejście na najnowsze wersje. To pomoże wyeliminować ryzyko rozprzestrzeniania fałszywego oprogramowania.

- Zasada incydentu

Na początku marca biblioteka Axios została zhakowana, a złośliwa wersja została pobrana i uruchomiona w procesie CI/CD przez GitHub Actions. Wersja złośliwa uzyskała dostęp do certyfikatów używanych do podpisywania aplikacji ChatGPT Desktop, Codex, Codex‑cli oraz Atlas. Analiza wykazała, że certyfikaty nie zostały skradzione przy pomocy kodu złośliwego.

- Problem starych wersji

Aplikacje desktopowe OpenAI na macOS wydane przed 8 marca już nie będą otrzymywać aktualizacji i wsparcia. Może to prowadzić do utraty funkcjonalności programów.

- Bezpieczeństwo kluczy

Firma podkreśliła, że hasła i klucze API OpenAI pozostały zabezpieczone. Główną przyczyną incydentu była niewłaściwa konfiguracja GitHub Actions, którą już naprawiono.

W ten sposób OpenAI zakończyła pracę nad eliminacją zagrożenia, aktualizując certyfikaty i proponując użytkownikom przejście na aktualne wersje aplikacji na macOS.