OpenAI phát hiện lỗ hổng bảo mật liên quan công cụ của bên thứ ba, song khẳng định không có bằng chứng dữ liệu người dùng bị truy cập hay bị xâm phạm.
OpenAI phát hiện lỗ hổng bảo mật liên quan công cụ của bên thứ ba, song khẳng định không có bằng chứng dữ liệu người dùng bị truy cập hay bị xâm phạm.
Công ty OpenAI (đơn vị phát triển ChatGPT) vừa xác nhận phát hiện một lỗ hổng bảo mật liên quan đến công cụ của bên thứ ba, song nhấn mạnh chưa ghi nhận bất kỳ dấu hiệu nào cho thấy dữ liệu người dùng bị truy cập hoặc hệ thống bị xâm phạm.
Theo thông báo, sự cố bắt nguồn từ thư viện phát triển phổ biến Axios, được xác định đã bị xâm phạm vào ngày 31.3 trong một cuộc tấn công chuỗi cung ứng phần mềm quy mô lớn.
OpenAI cho biết cuộc tấn công đã khiến quy trình làm việc trên GitHub Actions của họ vô tình tải xuống và thực thi một phiên bản độc hại của Axios.
Quy trình này có quyền truy cập vào các chứng chỉ và tài liệu xác thực dùng để ký ứng dụng macOS như ChatGPT Desktop, Codex, Codex-cli và Atlas.
Tuy nhiên, sau khi phân tích, công ty khẳng định không có bằng chứng cho thấy các chứng chỉ ký này đã bị đánh cắp thành công. Đồng thời, OpenAI cũng không ghi nhận việc phần mềm bị thay đổi, tài sản trí tuệ bị xâm phạm hay dữ liệu người dùng bị truy cập trái phép.
Nguyên nhân gốc rễ của sự cố được xác định là lỗi cấu hình trong quy trình GitHub Actions. OpenAI cho biết vấn đề này đã được khắc phục và các biện pháp bảo mật bổ sung đang được triển khai nhằm tăng cường kiểm soát chuỗi cung ứng phần mềm.
Để giảm thiểu rủi ro, công ty đang cập nhật lại các chứng chỉ bảo mật và yêu cầu tất cả người dùng macOS nâng cấp ứng dụng OpenAI lên phiên bản mới nhất.
Động thái này nhằm ngăn chặn nguy cơ các ứng dụng giả mạo lợi dụng chứng chỉ cũ để phát tán phần mềm độc hại.
Ngoài ra, OpenAI thông báo kể từ ngày 8.5, các phiên bản cũ của ứng dụng ChatGPT trên macOS sẽ không còn được hỗ trợ hoặc cập nhật, đồng thời có thể ngừng hoạt động. Người dùng được khuyến nghị cập nhật sớm để đảm bảo an toàn và trải nghiệm ổn định.
Đáng chú ý, công ty cũng khẳng định mật khẩu và khóa API của người dùng không bị ảnh hưởng bởi sự cố lần này.
Đọc bài gốc tại đây.