OpenAI confirmă o problemă de securitate cu un instrument terț - Datele utilizatorilor rămân neafectate, dar se impun actualizări urgente

OpenAI își schimbă rapid fluxul de semnare pentru aplicațiile macOS, după ce a depistat o vulnerabilitate într-un instrument terț folosit în lanțul său de dezvoltare , într-un caz care arată cât de expuse pot fi companiile la atacuri de tip „supply chain” (compromiterea furnizorilor/depedențelor software), potrivit economedia.ro . Compania spune că nu a găsit dovezi că datele utilizatorilor au fost accesate și nici că sistemele, proprietatea intelectuală sau software-ul său au fost modificate. Incidentul este legat de Axios, o bibliotecă de dezvoltare terță parte utilizată pe scară largă, pe care OpenAI afirmă că a fost compromisă pe 31 martie, într-un atac mai amplu asupra lanțului de aprovizionare software, atribuit unor actori despre care se crede că au legături cu Coreea de Nord. În urma compromiterii, un flux de lucru GitHub Actions folosit de OpenAI ar fi descărcat și executat o versiune malițioasă a Axios. Ce a fost expus și ce spune OpenAI că nu s-a întâmplat Potrivit companiei, fluxul de lucru afectat avea acces la un certificat și la materiale de autentificare folosite pentru semnarea aplicațiilor macOS (procesul prin care sistemul de operare poate verifica dacă aplicația provine de la un dezvoltator legitim). Sunt menționate explicit aplicațiile ChatGPT Desktop, Codex, Codex-cli și Atlas. OpenAI afirmă că analiza internă a concluzionat că certificatul de semnare prezent în acel flux de lucru „probabil” nu a fost exfiltrat (extras) cu succes de încărcătura malițioasă. Totodată, compania spune că parolele și cheile API (chei de acces pentru integrarea serviciilor) nu au fost afectate. Măsuri operaționale: actualizări obligatorii și suport tăiat pentru versiunile vechi OpenAI anunță că își actualizează certificările de securitate și le cere tuturor utilizatorilor de macOS să își actualizeze aplicațiile OpenAI la cele mai recente versiuni, pentru a reduce riscul distribuirii unor aplicații false. O consecință concretă pentru utilizatori și organizații: începând cu 8 mai, versiunile mai vechi ale aplicațiilor desktop macOS ale OpenAI nu vor mai primi actualizări sau asistență și „s-ar putea să nu mai fie funcționale”, conform companiei. OpenAI mai precizează că incidentul a avut drept cauză principală o configurare greșită în fluxul de lucru GitHub Actions, care a fost remediată. [...]