הצטרפו לקורס

משתמשים ב-ChatGPT? זה מה שאתם חייבים לדעת על אירוע האבטחה שנחשף הבוקר

משתמשים ב-ChatGPT? זה מה שאתם חייבים לדעת על אירוע האבטחה שנחשף הבוקר (עדכון חם מהרשת)

מאת: מערכת AI for Law | בשיתוף Wings

אם גם אתם פתחתם את המייל הבוקר וראיתם הודעה מ-OpenAI על "תקרית אבטחה אצל ספק צד ג׳" – אתם לא לבד. האינסטינקט הראשוני של רובנו הוא למחוק ולהמשיך הלאה (הרי הם כתבו שהסיסמאות בטוחות, לא?).

אבל רגע לפני שאתם מעבירים את זה לארכיון, כדאי שתראו מה קורה עכשיו ברשתות החברתיות. האירוע הזה הוא לא סתם "תקלה", אלא שיעור חובה באבטחת מידע לכל עורך דין שמנהל מידע רגיש.

הפריצה, שנחשפה בדו"חות אבטחה הלילה, לא התרחשה ב"דלת הראשית" של OpenAI, אלא אצל ספקית אנליטיקה חיצונית בשם Mixpanel.

צילום מסך של המייל מ-OpenAI המאשר את הפריצה ל-Mixpanel וחשיפת המידע
תחת הכותרת המרגיעה 'שקיפות חשובה לנו', OpenAI מודה שהיא מעבירה את המידע העסקי שלכם לספקים חיצוניים – שנפרצו.

הסערה ברשת: "הם מכרו אותנו לספקים"

בעוד שההודעה הרשמית מנסה להרגיע, ב-X (לשעבר טוויטר) וב-Reddit הרוחות סוערות. חוקרי אבטחה ומשתמשים זועמים חושפים את מה שלא נכתב במייל הרשמי.

בדיון מרכזי שנפתח הבוקר ב-Reddit תחת הכותרת "המידע שלכם נגנב: השם, המייל והמיקום שלכם בחוץ", משתמשים מצביעים על המחדל האמיתי:

 

ChatGPT maker OpenAI confirms major data breach, exposing user's names, email addresses, and more — "Transparency is important to us."
byu/WindowsCentral intechnology

"זה לא באג, זה פיגוע מודיעיני"

כדי להבין את המשמעויות לעומק, ישבנו לשיחה דחופה עם שלומי אסולין, מנכ"ל Wings (פלטפורמת ה-AI המאובטחת למשפטנים) ויוצא מערך הטכנולוגיה של חיל האוויר.

"הזעם ברשת מוצדק", אומר שלומי. "אתם חושבים שאתם מדברים עם ChatGPT, אבל בפועל המידע זורם בצינורות נסתרים לספקים חיצוניים. הלילה, הצינור הזה התפוצץ".

לפי הדו"ח, המידע שדלף כולל Org IDs (מזהים ארגוניים), כתובות מייל ושעות פעילות.

למה זה קריטי לעורך דין?
"בעיניים של איש סייבר, זה נכס", מסביר אסולין. "ברגע שלהאקר יש את ה-ID של המשרד שלכם, הוא יכול לבצע מתקפה כירורגית שנקראת Spear Phishing (דיג ממוקד). הוא ישלח לכם מייל שנראה רשמי לחלוטין, עם המספר המזהה האמיתי שלכם, ויגיד: 'יש בעיה בחשבון, נא אשר פרטים'. עורך דין לחוץ לא יחשוד לרגע. זה הרבה יותר מסוכן מסתם ספאם".

הסיוט של גוגל: כש"חסוי" הופך ל"ציבורי"

במקביל לפריצה, צף מחדש נושא כאוב נוסף שמשגע את הרשת: מתברר ששוב שיחות ששותפו באמצעות לינקים (Shared Links) אונדקסו בטעות על ידי גוגל והפכו לגלויות בחיפוש.

"עורכי דין אומרים לי 'אוקיי, מחקתי את השיחה'", משתף שלומי. "אבל האינטרנט לא שוכח. ברגע שגוגל סרקה פרוטוקול, זה יושב ב-'Cache' ובארכיונים לנצח. תחשבו על משמעות של 'פרסום קודם' בדיני פטנטים. הנזק הוא בלתי הפיך".

הרגולטור כבר הזהיר (ואתם חשופים)

האירוע הזה מתחבר ישירות לגילוי הדעת 2/24 של ועדת האתיקה, שקבע כי עורכי דין חייבים להבין את הסיכונים הטכנולוגיים. שימוש בכלי המעביר מידע לספקים בחו"ל ללא בקרה – הוא בדיוק התרחיש שממנו הזהירו.

הפתרון של Wings: לנתק את הצינורות

אז איך עובדים עם AI בלי לישון עם עין פקוחה? ב-Wings פיתחו ארכיטקטורה שונה לחלוטין:

  • בלי "דלתות אחוריות": אין ספקי אנליטיקה צד ג' (כמו Mixpanel) שמקבלים גישה לנתונים. השרשרת סגורה.
  • הצפנת "מעטפה כפולה": כל מילה שאתם כותבים מוצפנת ונחתמת דיגיטלית בישראל לפני שהיא יוצאת לענן.
  • Zero Data Retention: סיימתם לעבוד? המידע נמחק. אנחנו לא שומרים היסטוריה שיכולה לדלוף.

אל תחכו למייל הבא

"האירוע הזה הוא הזדמנות ללמוד", מסכם שלומי. "הטכנולוגיה מדהימה, אבל האחריות היא עליכם". כדי לעזור לקהילה להתמודד, המנוי ב-Wings כולל לא רק תוכנה מאובטחת, אלא גם את תוכנית ה-Upskill: הכשרה מקיפה שמלמדת אתכם לזהות בדיוק את המתקפות האלו ולהימנע מטעויות. 

פרטים נוספים והרשמה ל-Wings במחיר השקה לחצו כאן

פיתוח אתר: רבקה ארלנגר