Итого: в простейшем блоге в среду генеральный директор Mixpanel Джен Тейлор объявила, что 8 ноября была обнаружена некая инцидент‑события в области безопасности, затронувший часть клиентов, но не уточнила, как именно они пострадали и сколько их было, лишь отметив, что компания приняла комплекс мер, чтобы «искоренить неавторизованный доступ».
Генеральный директор Mixpanel Джен Тейлор не ответила на многочисленные запросы TechCrunch, включавшие более десяти вопросов о взломе данных компании. Мы спрашивали Тейлор, получала ли компания какие‑либо сообщения от хакеров, например требование выкупа, а также о конкретных деталях инцидента, включая то, защищены ли учетные записи сотрудников Mixpanel многофакторной аутентификацией.
Одним из пострадавших клиентов стал OpenAI, который опубликовал собственный пост в блоге через два дня, подтвердив то, что Mixpanel не уточнила в своем сообщении, а именно то, что данные клиентов были извлечены из систем Mixpanel.
OpenAI сообщил, что стал жертвой утечки, потому что использовал программное обеспечение Mixpanel для анализа того, как пользователи взаимодействуют с определёнными разделами сайта, например с документацией для разработчиков.
Пострадавшими пользователями OpenAI, вероятнее всего, являются разработчики, чьи приложения или сайты опираются на продукты OpenAI. По заявлению компании, в украденных данных были указаны имя пользователя, адрес электронной почты, примерное местоположение (город и штат) по IP‑адресу, а также некоторые идентифицирующие сведения об устройстве — операционная система и версия браузера. Часть этой информации совпадает с тем, что Mixpanel собирает с устройств при использовании приложений и веб‑сайтов.
Представитель OpenAI Нико Феликс сказал TechCrunch, что утечка из Mixpanel «не содержит идентификаторов, таких как Android Advertising ID или Apple IDFA», что могло бы упростить привязку конкретных пользователей OpenAI к их активности в других приложениях и сервисах.
OpenAI в своём блоге отметил, что инцидент не затронул напрямую пользователей ChatGPT и в результате прекратил использование Mixpanel.
Хотя детали утечки ограничены, данный случай усиливает внимание к индустрии аналитики данных, которая зарабатывает на сборе огромных массивов информации о том, как люди используют сайты и приложения.
Как Mixpanel отслеживает нажатия, клики и наблюдает за вашим экраном
Mixpanel — один из крупнейших поставщиков веб‑ и мобильной аналитики, о котором многие могут не знать, если они не работают в сфере разработки приложений или маркетинга. По данным сайта компании, у неё 8 000 корпоративных клиентов — теперь уже на один меньше после скорейшего ухода OpenAI.
Поскольку каждый клиент Mixpanel может иметь миллионы собственных пользователей, число обычных людей, чьи данные попали в утечку, может быть значительным. Типы украденных данных, скорее всего, различаются у разных клиентов в зависимости от настроек сбора и объёма собираемой информации.
Компаниями вроде Mixpanel владеет быстро развивающаяся отрасль, предоставляющая технологии отслеживания, позволяющие бизнесу понимать, как их клиенты взаимодействуют с приложениями и сайтами. Такие аналитические сервисы способны собирать и хранить огромные массивы данных — миллиарды точек информации — о привычках обычных потребителей.
Например, разработчик приложения или сайта может внедрить кусок кода от аналитической компании, такой как Mixpanel, в свой продукт, получая тем самым «видимость». Для пользователя это похоже на то, что кто‑то наблюдает за его действиями в браузере или приложении без его ведома, передавая каждый клик, тап, свайп и переход компании‑разработчику.
В случае Mixpanel легко увидеть, какие данные собираются с приложений и сайтов, где встроен их код. С помощью открытых инструментов, например Burp Suite, TechCrunch проанализировал сетевой трафик нескольких приложений с кодом Mixpanel — Imgur, Lingvano, Neon и Park Mobile. В наших тестах мы наблюдали различный уровень передачи информации об устройстве и действиях внутри приложений в Mixpanel.
Эти данные могут включать действия пользователя: открытие приложения, нажатие ссылки, пролистывание страницы, вход с логином и паролем и т.п. Затем такие события привязываются к сведениям об устройстве: тип устройства (iPhone, Android), размеры экрана, тип соединения (мобильная сеть или Wi‑Fi), оператор сотовой сети, уникальный идентификатор пользователя в данном сервисе и точный таймстамп события.
Иногда собирается информация, которая должна быть недоступна. В 2018 году Mixpanel признала, что её код аналитики случайно собирал пароли пользователей.
Собранные аналитическими сервисами данные должны быть псевдонимизированы — то есть «перемешаны» так, чтобы не содержать имен и других идентифицирующих сведений. Вместо имени им присваивается уникальный, на первый взгляд случайный идентификатор. Однако псевдонимизированные данные можно обратным образом декодировать и использовать для раскрытия реальной личности. Кроме того, данные об устройстве позволяют уникально идентифицировать его («фингерпринтинг»), что тоже может применяться для отслеживания активности пользователя в разных приложениях и в сети.
Отслеживая действия на устройстве во множестве приложений, аналитические компании упрощают своим клиентам создание профилей пользователей и их поведения.
Mixpanel также предоставляет клиентам возможность собирать «воспроизведения сессий», визуально восстанавливающие, как пользователи взаимодействуют с приложением или сайтом, чтобы разработчики могли находить баги. Сессии должны исключать персональные и конфиденциальные данные, такие как пароли и номера банковских карт, но процесс далёк от идеала.
Согласно собственным заявлениям Mixpanel, такие воспроизведения иногда могут содержать конфиденциальную информацию, которая по ошибке попадает в логи. Apple наконала приложения, использующие код записи экрана, после того как TechCrunch раскрыл эту практику в 2019 году.
Говорить, что Mixpanel имеет вопросы к ответу по своей утечке, — почти ничего не сказать. Без точных сведений о том, какие данные попали в инцидент, сложно оценить масштаб и число пострадавших. Возможно, компания сама пока не знает.
Одно ясно: такие компании, как Mixpanel, хранят огромные массивы информации о пользователях и их поведении в приложениях, и становятся всё более привлекательной целью для злоумышленников.
Знаете больше о утечке данных Mixpanel? Работаете в Mixpanel или в компании‑пострадавшей? Мы будем рады вашей информации. Связаться с репортером можно через Signal, используя имя пользователя: zackwhittaker.1337
Автор – Zack Whittaker
