В преддверии американских праздничных выходных в компании Mixpanel, крупном поставщике аналитических сервисов, произошёл инцидент с утечкой данных. В кратком сообщении генеральный директор компании сообщила, что 8 ноября было зафиксировано неуточнённое нарушение безопасности, затронувшее некоторых клиентов, но подробностей о масштабах или характере воздействия не раскрыла. Mixpanel приняла меры для предотвращения несанкционированного доступа, однако многие вопросы остаются без ответов.
Одним из пострадавших клиентов стала компания OpenAI, которая в своём собственном сообщении подтвердила, что из систем Mixpanel были похищены данные пользователей. Утечка затронула информацию о пользователях, взаимодействующих с определёнными разделами сайта OpenAI, включая имя, электронную почту, приблизительное местоположение и некоторые данные об устройстве, такие как версия операционной системы и браузера. При этом данные, которые облегчают точную идентификацию пользователей, не были скомпрометированы.
OpenAI подчеркнула, что инцидент не затронул пользователей ChatGPT напрямую и в связи с утечкой прекратила сотрудничество с Mixpanel.
Этот случай вновь привлекает внимание к индустрии аналитических сервисов, которая собирает огромные объёмы информации о поведении пользователей в интернете и мобильных приложениях. Mixpanel является одним из крупнейших игроков на рынке, обслуживая тысячи корпоративных клиентов, и через их сервисы может быть затронуто множество обычных пользователей.
Компании, использующие такие аналитические платформы, могут внедрять код, который отслеживает каждое действие пользователя — нажатия, прокрутки, время взаимодействия — и отправляет эти данные обратно в Mixpanel. При этом собирается разнообразная информация об устройстве и активности, что позволяет создавать детальные профили пользователей. Несмотря на меры по анонимизации, подобные данные иногда могут быть использованы для идентификации личности.
Кроме того, Mixpanel предлагает функцию записи сессий пользователей, которая визуально воспроизводит их взаимодействие с приложением или сайтом. Хотя из таких записей должны исключаться личные и конфиденциальные данные, не всегда удаётся избежать их случайного включения.
Инцидент с Mixpanel подчёркивает уязвимость компаний, хранящих большие массивы пользовательской информации, и необходимость повышенного внимания к безопасности в сфере аналитики данных. На данный момент остаётся неизвестным, насколько масштабна эта утечка и сколько людей пострадало. Очевидно одно — такие компании становятся всё более привлекательными целями для злоумышленников.
