Витік даних в аналітичному гіганті Mixpanel: що стоїть за глобальним скандалом та як це вплине на вашу безпеку?
Нещодавня кібератака на аналітичну компанію Mixpanel, яка була оголошена за кілька годин до Дня подяки у США, викликала обурення та зацікавленість у світі захисту інформації. Ситуація показує, як не слід повідомляти про витоки даних.
У стислому блозі, опублікованому в середу, генеральний директор Mixpanel Джен Тейлор оголосила про виявлення невизначеного інциденту безпеки 8 листопада, який торкнувся деяких клієнтів. Однак, конкретних деталей не було надано: компанія не уточнила, яким чином це вплинуло на користувачів, та скільки саме клієнтів постраждало. Тейлор лише зазначила, що Mixpanel вжила низку заходів для “ліквідації несанкціонованого доступу.”
Не зважаючи на численні запити щодо інциденту, Джен Тейлор не відповіла на електронні листи від TechCrunch, в яких містилися важливі запитання про злочинців, зокрема, чи отримала компанія вимоги про викуп, а також про захист облікових записів співробітників Mixpanel за допомогою багатофакторної аутентифікації.
Серед клієнтів, які постраждали, опинилася компанія OpenAI. Через два дні після оголошення Mixpanel, OpenAI підтвердила, що дані її користувачів були вкрадені з систем Mixpanel. OpenAI використовує програмне забезпечення Mixpanel для аналізу взаємодії користувачів з частинами свого веб-сайту.
Вкрадені дані OpenAI містили імена, електронні адреси, приблизні місця знаходження користувачів, а також деякі особистісно ідентифікуючі дані пристроїв. Представник OpenAI, Ніко Фелікс, повідомив, що крадені дані не містили таких ідентифікаторів, як Android Advertising ID або Apple IDFA, що ускладнює можливість особистої ідентифікації користувачів.
Крім цього, OpenAI зазначила, що інцидент не вплинув безпосередньо на користувачів ChatGPT, компанія втратила довіру до Mixpanel і припинила партнерство після витоку.
Хоча деталі злому досі залишаються обмеженими, цей інцидент привертає увагу до галузі аналітики даних, яка отримує прибуток від збору величезних обсягів інформації про споживчу поведінку.
Методи роботи Mixpanel: збір та аналіз даних
Mixpanel є одним із провідних постачальників аналітичних послуг, проте не всі знають про її діяльність, якщо не працюють у сфері розробки додатків або маркетингу. Відповідно до інформації на сайті компанії, Mixpanel надає послуги для 8000 корпоративних клієнтів, зокрема, OpenAI, яка нещодавно вирішила піти з їхньої платформи.
З огляду на значну кількість користувачів клієнтів Mixpanel, можна припустити, що обсяг вкрадених даних може бути вражаючим. Типи даних, що були викрадені, ймовірно, варіюються в залежності від налаштувань кожного клієнта.
Компанії, такі як Mixpanel, отримують прибуток від надання технологій трекінгу, які дозволяють зібрати величезні обсяги даних про взаємодію користувачів з сайтами та додатками. Ці аналітичні компанії зберігають мільярди даних, що стосуються звичайних споживачів.
Клієнти Mixpanel можуть вбудовувати код компанії у свої додатки або веб-сайти, що дозволяє здійснювати детальний моніторинг дій користувачів. Це виглядає як стеження за користувачами, оскільки компанія без їх відома фіксує кожен клік і кожне натискання.
Така практика підвіщує питання про безпеку та конфіденційність, зокрема, Mixpanel під час збору даних за допомогою своїх технологій неодноразово стикався з критикою через ненавмисний збір конфіденційних даних, включаючи паролі.
Ситуація з Mixpanel підтверджує, що компанії цього профілю мають серйозні питання, на які потрібно відповісти. Точні дані про обсяг зламу досі невідомі, однак однозначно зрозуміло, що аналітичні платформи накопичують величезні обсяги інформації про користувачів і стають мішенню для кіберзлочинців.
