ओपनएआई ने गुरुवार, 27 नवंबर को खुलासा किया कि उसके एपीआई प्लेटफॉर्म के उपयोगकर्ताओं का व्यक्तिगत डेटा – जैसे संगठन या उपयोगकर्ता आईडी – हैकर्स द्वारा तीसरे पक्ष के विक्रेता के उल्लंघन के बाद उजागर हो सकता है, जिसे एआई स्टार्टअप वेब एनालिटिक्स के लिए उपयोग कर रहा था।
ओपनएआई ने एक ब्लॉग पोस्ट में कहा कि डेटा एनालिटिक्स प्रदाता मिक्सपैनल को डेटा उल्लंघन का सामना करना पड़ा जब एक हमलावर ने उनके सिस्टम के हिस्से तक अनधिकृत पहुंच प्राप्त की और सीमित ग्राहक पहचान योग्य जानकारी और एनालिटिक्स जानकारी वाले डेटासेट का निर्यात किया।
डेटा उल्लंघन 9 नवंबर, 2025 को हुआ था। चैटजीपीटी-निर्माता ने कहा, “मिक्सपैनल ने ओपनएआई को सूचित किया कि वे जांच कर रहे हैं, और 25 नवंबर, 2025 को उन्होंने प्रभावित डेटासेट हमारे साथ साझा किया।”
इसमें इस बात पर जोर दिया गया कि हमले में ओपनएआई के सिस्टम से समझौता नहीं किया गया। हालाँकि, OpenAI के API प्लेटफ़ॉर्म (platform.openai.com) पर पंजीकृत उपयोगकर्ताओं की खाता जानकारी हैकर्स द्वारा चुरा ली गई थी। इस जानकारी में एपीआई खाता उपयोगकर्ता नाम, ईमेल पते, ऑपरेटिंग सिस्टम और ब्राउज़र विवरण, एपीआई खाते से जुड़े संगठन या उपयोगकर्ता आईडी, एपीआई उपयोगकर्ता ब्राउज़र (शहर, राज्य, देश) के आधार पर अनुमानित मोटे स्थान और संदर्भित वेबसाइटें शामिल हैं।
ओपनएआई अपने भुगतान करने वाले ग्राहकों को एप्लिकेशन प्रोग्रामिंग इंटरफ़ेस (एपीआई) के माध्यम से अपने एआई मॉडल और टूल तक पहुंच प्रदान करता है – परिभाषित निर्देशों का एक सेट जो विभिन्न अनुप्रयोगों को एक दूसरे के साथ संवाद करने में सक्षम बनाता है। प्लेटफ़ॉर्म का उपयोग मुख्य रूप से ओपनएआई के डेवलपर समुदाय द्वारा किया जाता है, जो अपने स्वयं के एआई अनुप्रयोगों को सशक्त बनाने के लिए भुगतान एपीआई एक्सेस का उपयोग करते हैं।
दूसरी ओर, मिक्सपैनल एक तृतीय-पक्ष वेब एनालिटिक्स प्रदाता है जिसका उपयोग OpenAI उत्पाद उपयोग का विश्लेषण करने और अपने एपीआई उत्पाद के माध्यम से दी जाने वाली सेवाओं को बेहतर बनाने के लिए कर रहा है।
Microsoft समर्थित स्टार्टअप के अनुसार, ChatGPT और अन्य OpenAI उत्पादों के फ्रंट-एंड उपयोगकर्ता डेटा उल्लंघन से प्रभावित नहीं हुए। इसने स्पष्ट किया कि चैट-संबंधित डेटा, एपीआई अनुरोध, एपीआई उपयोग डेटा, पासवर्ड, क्रेडेंशियल्स, एपीआई कुंजी, भुगतान विवरण और सरकारी आईडी से दुर्भावनापूर्ण हमले में समझौता या उजागर नहीं किया गया था।
इस विज्ञापन के नीचे कहानी जारी है
ओपनएआई ने कहा, “इसके अतिरिक्त, हमने पुष्टि की है कि ओपनएआई सेवाओं के लिए सत्र टोकन, प्रमाणीकरण टोकन और अन्य संवेदनशील पैरामीटर प्रभावित नहीं हुए हैं।” हालाँकि, डेटा उल्लंघन से प्रभावित API ग्राहकों की कुल संख्या का OpenAI द्वारा खुलासा नहीं किया गया है।
ध्यान दें, इस तरीके से व्यक्तिगत रूप से पहचाने जाने योग्य जानकारी का प्रदर्शन ओपनएआई के एपीआई ग्राहकों के लिए कई जोखिम पैदा कर सकता है। उदाहरण के लिए, धमकी देने वाले कलाकार सोशल इंजीनियरिंग के माध्यम से फ़िशिंग हमलों को अंजाम देने के लिए नाम, ईमेल पते और ओपनएआई एपीआई मेटाडेटा का लाभ उठा सकते हैं। एक डेटा उल्लंघन से सामने आने वाले उपयोगकर्ता क्रेडेंशियल का उपयोग खतरे वाले अभिनेताओं द्वारा अन्य प्लेटफार्मों पर उपयोगकर्ता खातों में लॉग इन करने का प्रयास करने के लिए भी किया जा सकता है। इस प्रकार के हमले को आम तौर पर क्रेडेंशियल स्टफिंग के रूप में जाना जाता है।
यह घटना इलेक्ट्रॉनिक्स और सूचना प्रौद्योगिकी मंत्रालय (एमईआईटीवाई) द्वारा डिजिटल व्यक्तिगत डेटा संरक्षण (डीपीडीपी) नियम, 2025 को अधिसूचित किए जाने के एक सप्ताह से अधिक समय बाद आई है, जिससे भारत के लिए एक कार्यात्मक डेटा संरक्षण कानून बनाने का मार्ग प्रशस्त हुआ है।
हालांकि कानून के कुछ प्रावधान वर्तमान में लागू हैं, अन्य दायित्व जैसे संस्थाओं द्वारा उपयोगकर्ताओं को डेटा उल्लंघनों की सूचना देने की आवश्यकता, सभी 18 महीने के बाद ही लागू होंगे।
इस विज्ञापन के नीचे कहानी जारी है
घटना के बाद OpenAI क्या कर रहा है?
OpenAI ने कहा है कि वह डेटा उल्लंघन के बारे में प्रभावित संगठनों, व्यवस्थापकों और उपयोगकर्ताओं को सीधे सूचित करने की प्रक्रिया में है। इसने मिक्सपैनल का उपयोग भी समाप्त कर दिया है।
सैम ऑल्टमैन के नेतृत्व वाले संगठन ने कहा, “हमारी सुरक्षा जांच के हिस्से के रूप में, हमने अपनी उत्पादन सेवाओं से मिक्सपैनल को हटा दिया, प्रभावित डेटासेट की समीक्षा की, और घटना और इसके दायरे को पूरी तरह से समझने के लिए मिक्सपैनल और अन्य भागीदारों के साथ मिलकर काम कर रहे हैं।”
इसमें कहा गया है, “मिक्सपैनल से परे, हम अपने विक्रेता पारिस्थितिकी तंत्र में अतिरिक्त और विस्तारित सुरक्षा समीक्षा कर रहे हैं और सभी भागीदारों और विक्रेताओं के लिए सुरक्षा आवश्यकताओं को बढ़ा रहे हैं।”
OpenAI के API ग्राहक क्या कर सकते हैं?
जिन डेवलपर्स और संगठनों ने ओपनएआई की एपीआई सेवाओं का उपयोग करने के लिए साइन अप किया है, उन्हें पता चलेगा कि वे डेटा उल्लंघन से प्रभावित हुए हैं यदि उन्हें ओपनएआई से घटना की सूचना देने वाला एक ईमेल प्राप्त होता है।
इस विज्ञापन के नीचे कहानी जारी है
एआई स्टार्टअप ने उपयोगकर्ताओं को घटना के बाद खुद को सुरक्षित रखने के लिए निम्नलिखित उपायों की भी सिफारिश की:
– अप्रत्याशित ईमेल या संदेशों को सावधानी से संभालें, खासकर यदि उनमें लिंक या अटैचमेंट शामिल हों।
– दोबारा जांच लें कि ओपनएआई से होने का दावा करने वाला कोई भी संदेश आधिकारिक ओपनएआई डोमेन से भेजा गया है।
– मल्टी-फैक्टर ऑथेंटिकेशन (एमएफए) को सक्षम करके अपने खाते को और सुरक्षित रखें। उद्यमों और संगठनों को एकल साइन-ऑन परत पर एमएफए को सक्षम करने की अनुशंसा की जाती है।
इसमें कहा गया है, “ओपनएआई ईमेल, टेक्स्ट या चैट के माध्यम से पासवर्ड, एपीआई कुंजी या सत्यापन कोड का अनुरोध नहीं करता है।”