L’Intelligenza Artificiale ha cambiato totalmente le modalità di fruizione degli strumenti digitali, una rivoluzione che è in larga parte ancora in atto e che è sicuramente cominciata con il lancio di ChatGPT, avvenuto oramai quasi tre anni fa. Questa tecnologia, nella sua variante “generativa” sta pervadendo ormai diverse parti del mercato, e non solo le soluzioni di OpenAI, proprietaria di ChatGPT, che vengono utilizzate per creare immagini tramite una semplice richiesta scritta, oppure copy accattivanti per campagne pubblicitarie ma anche tantissimi altri possibili utilizzi.
Senza dilungarci in una lista delle possibilità legate alla GenAI, abbiamo anche ricordato più volte che queste enormi capacità di scrittura possono essere utilizzate per scopi malevoli, cosa che sta già accadendo visto che questa tecnologia è già da tempo in grado di scrivere in autonomia codice malevolo, una possibilità ancora perfettibile ma che a detta degli esperti viene già utilizzata da piccoli gruppi hacker. I pericoli correlati al ricorso alle piattaforme AI, poi, possono essere esattamente gli stessi di tutte le altre soluzioni presenti sul mercato, ovvero la perdita di dati dovuta a problemi dell’applicativo o, in alternativa, a fornitori di terze parti.
Ed è questo ciò che è stato denunciato nei giorni scorsi, ovvero la perdita di dati importanti a seguito di un data breach subito da un’azienda che fornisce le API per ChatGPT, sulla quale è stata fatta una nota anche da parte di OpenAI. In nome della trasparenza, il 26 novembre scorso l’azienda ha notificato che MixPanel ha avuto dei problemi di sicurezza interni che hanno portato all’esposizione di dati analitici di utenti che usano le API di ChatGPT, i cui utenti però, ci tengono a sottolineare, non sono stati intaccati dalla problematica, proprio perché la violazione è stata subìta da MixPanel. Proprio la società ha spiegato ad inizio novembre che era stato effettuato un accesso illegittimo, a margine del quale erano stati trafugati diversi dati, anche appartenenti ai clienti, dati che poi sono stati resi noti anche a OpenAI.
I dati dei clienti finiti nelle mani degli hacker sarebbero quelli anagrafici, gli indirizzi mail, geolocalizzazioni, i nomi legati agli utenti e gli indirizzi URL dai quali si connettono alle API. Stando alle informazioni rilasciate da OpenAI, invece, sembra si siano salvate altre informazioni importanti come i contenuti delle chat, i dati di uso delle API, dati d’accesso, documenti e numeri di pagamento. Questa ovviamente è una buona notizia solo a metà, perché quel che è stato trafugato è sufficiente per incorrere in problemi di sicurezza. Innanzitutto, OpenAI ha subito chiuso i rapporti con MixPanel, mentre gli utenti adesso dovranno fare attenzione alle potenziali offensive.
Questo perché come capita per ogni attacco che coinvolge una utenza così ampia è possibile che inizino tentativi di phishing o social engineering nei confronti degli utenti dei quali sono state trafugate le informazioni. Come al solito, a breve le persone coinvolte potrebbero infatti ricevere email riguardanti questi servizi, contenenti collegamenti o allegati che si chiede di aprire o visualizzare con urgenza. L’azienda che controlla ChatGPT a tal proposito ha ribadito, se mai servisse, che non chiederà mai alcuna informazione come password o chiavi API via email o via SMS, pertanto se si ricevono email con queste richieste è giusto cestinare il tutto senza pensarci. Sebbene non siano state ufficialmente rubate le credenziali d’accesso viene consigliata comunque l’attivazione dell’autenticazione a due fattori per fortificare la protezione dei login. Non è la prima e non sarà l’ultima volta in cui verrà raccontata un’offensiva o qualche problematica relativa alla sicurezza di ChatGPT, cosa che può succedere potenzialmente anche per qualsiasi altra soluzione AI, ma sicuramente c’è da fare una riflessione sulla quantità di dati in possesso di queste piattaforme e sulla loro sicurezza, per la quale è necessario fare molto di più.
