یک حادثه امنیت سایبری در شرکت تحلیلگر Mixpanel که درست چند ساعت قبل از تعطیلات آخر هفته شکرگزاری آمریکا اعلام شد، می تواند معیار جدیدی را برای نحوه نادرست اعلام یک نشت اطلاعات شخصی (دیتابریچ) تعیین کند و نشان دهد که چگونه خطر سرقت اطلاعات کاربران جدی است.
به طور خلاصه: در یک پست وبلاگی بسیار مختصر چهارشنبه گذشته، جن تیلور، مدیر عامل Mixpanel، اعلام کرد که این شرکت در تاریخ 17 آبان (8 نوامبر) یک حادثه امنیتی نامشخص را کشف کرده که بر برخی از مشتریانش تاثیر گذاشته است، اما نگفت که چگونه یا چند نفر تحت تاثیر قرار گرفته اند. فقط اعلام کرد که Mixpanel اقدامات امنیتی متعددی را برای “ریشه کن کردن دسترسی های غیرمجاز” انجام داده است.
جن تیلور، مدیر عامل Mixpanel، به ایمیل های متعدد TechCrunch، که شامل بیش از دوازده سوال در مورد نشت اطلاعاتی شرکت بود، پاسخی نداد. ما از تیلور پرسیدیم که آیا شرکت هیچ گونه ارتباطی از هکرها، مانند درخواست پول، دریافت کرده است یا خیر، و همچنین سوالات خاص دیگری در مورد این نشت اطلاعاتی، از جمله اینکه آیا حساب های کارمندان Mixpanel با احراز هویت چند عاملی محافظت می شدند.
یکی از مشتریان متاثر شده، OpenAI است که دو روز بعد پست وبلاگی خود را منتشر کرد و آنچه Mixpanel در پست خود نتوانسته بود به صراحت بگوید را تایید کرد: اینکه اطلاعات مشتریان از سیستم های Mixpanel به سرقت رفته بود، که نمونه ای از سرقت اطلاعات کاربران است.
OpenAI گفت که تحت تاثیر این نشت اطلاعات قرار گرفته است زیرا برای درک نحوه تعامل کاربرانش با بخش های خاصی از وب سایت خود، مانند مستندات توسعه دهنده، به نرم افزار ارائه شده توسط Mixpanel متکی بود.
کاربران OpenAI که تحت تاثیر نشت اطلاعاتی Mixpanel قرار گرفته اند، احتمالا توسعه دهندگانی هستند که برنامه ها یا وب سایت های خودشان برای کار کردن به محصولات OpenAI متکی هستند. OpenAI گفت که اطلاعات به سرقت رفته شامل نام ارائه شده توسط کاربر، آدرس های ایمیل، موقعیت تقریبی آن ها (مانند شهر و استان) بر اساس آدرس IPشان و برخی داده های قابل شناسایی دستگاه، مانند سیستم عامل و نسخه مرورگر، می شود. برخی از این اطلاعات، همان نوع داده هایی است که Mixpanel هنگام استفاده افراد از برنامه ها و مرور وب سایت ها، از دستگاه هایشان جمع آوری می کند.
سخنگوی OpenAI، نیکو فلیکس، به TechCrunch گفت که اطلاعات به سرقت رفته از Mixpanel “شامل شناسه هایی مانند شناسه تبلیغاتی اندروید یا IDFA اپل نبوده است،” که می توانست شناسایی شخصی کاربران خاص OpenAI یا ترکیب فعالیت آن ها در OpenAI با استفاده از سایر برنامه ها و وب سایت ها را آسان تر کند.
OpenAI در پست وبلاگی خود گفت که این حادثه مستقیما بر کاربران ChatGPT تاثیر نگذاشته است و در نتیجه این نشت اطلاعات، استفاده خود از Mixpanel را متوقف کرد.
در حالی که جزئیات نشت اطلاعات هنوز محدود است، این حادثه توجه تازه ای را به صنعت تحلیل داده جلب می کند؛ صنعتی که از جمع آوری حجم زیادی از اطلاعات در مورد نحوه استفاده افراد از وب سایت ها و برنامه ها سود می برد و پتانسیل بالایی برای سرقت اطلاعات کاربران دارد.
Mixpanel: ردیابی اطلاعات و خطر سرقت اطلاعات کاربران
Mixpanel یکی از بزرگترین شرکت های تحلیل وب و موبایل است که شاید هرگز نام آن را نشنیده باشید، مگر اینکه در زمینه توسعه برنامه یا بازاریابی کار کنید. طبق وب سایتش، Mixpanel تعداد 8,000 مشتری شرکتی دارد که اکنون با خروج زودهنگام OpenAI، یکی کمتر شده است.
با توجه به اینکه هر مشتری Mixpanel می تواند میلیون ها کاربر خود را داشته باشد، تعداد افراد عادی که اطلاعاتشان در این نشت به سرقت رفته، می تواند قابل توجه باشد. این وضعیت، اهمیت مقابله با سرقت اطلاعات کاربران را برجسته می کند. نوع اطلاعات به سرقت رفته احتمالا برای هر مشتری Mixpanel متفاوت است، بسته به اینکه هر مشتری چگونه جمع آوری اطلاعات خود را پیکربندی کرده و چه میزان اطلاعات کاربر را جمع آوری کرده است.
شرکت هایی مانند Mixpanel بخشی از یک صنعت رو به رشد هستند که فناوری های ردیابی را ارائه می دهند و به شرکت ها امکان می دهد تا نحوه تعامل مشتریان و کاربرانشان با برنامه ها و وب سایت هایشان را درک کنند. بدین ترتیب، شرکت های تحلیلگر می توانند حجم عظیمی از اطلاعات، از جمله میلیاردها نقطه داده، را در مورد مصرف کنندگان عادی جمع آوری و ذخیره کنند.
برای مثال، یک توسعه دهنده برنامه یا وب سایت می تواند یک تکه کد از یک شرکت تحلیلگر مانند Mixpanel را در داخل برنامه یا وب سایت خود جای گذاری کند تا این قابلیت مشاهده را به دست آورد. برای کاربر برنامه یا بازدیدکننده وب سایت، این مانند آن است که شخصی بدون اطلاع شما، هنگام مرور وب سایت یا استفاده از یک برنامه، از بالای شانه شما نگاه می کند، در حالی که هر کلیک یا ضربه، کشیدن صفحه و فشردن لینک را به طور مداوم با شرکتی که برنامه یا وب سایت را توسعه می دهد، به اشتراک می گذارد.
در مورد Mixpanel، به راحتی می توان انواع داده هایی را که Mixpanel از برنامه ها و وب سایت هایی که کد آن در آن ها جای گذاری شده است، جمع آوری می کند، مشاهده کرد. TechCrunch با استفاده از ابزارهای متن باز مانند Burp Suite، ترافیک شبکه ورودی و خروجی چندین برنامه دارای کد Mixpanel مانند Imgur، Lingvano، Neon و Park Mobile را تحلیل کرد. در تست های مختلف ما، درجات متفاوتی از اطلاعات مربوط به دستگاه و فعالیت درون برنامه ایمان را مشاهده کردیم که هنگام استفاده از برنامه ها به Mixpanel بارگذاری می شد.
این اطلاعات می تواند شامل فعالیت فرد باشد، مانند باز کردن برنامه، ضربه زدن روی یک لینک، کشیدن صفحه، یا ورود با نام کاربری و رمز عبورشان. این داده های ثبت رویداد سپس به اطلاعاتی در مورد کاربر و دستگاهش پیوست می شود، از جمله نوع دستگاه (مانند آیفون یا اندروید)، عرض و ارتفاع صفحه نمایش، اینکه کاربر از شبکه تلفن همراه یا Wi-Fi استفاده می کند، اپراتور شبکه تلفن همراه کاربر، شناسه منحصر به فرد کاربر وارد شده برای آن سرویس (که می تواند به کاربر برنامه مرتبط شود)، و زمان دقیق وقوع آن رویداد.
اطلاعات جمع آوری شده گاهی اوقات می تواند شامل اطلاعاتی باشد که باید از دسترس خارج باشند. Mixpanel در سال 1397 (2018) اعتراف کرد که کد تحلیلگر آن به طور ناخواسته رمز عبور کاربران را جمع آوری کرده است، که خود یک نمونه از ریسک های بالقوه سرقت اطلاعات کاربران است.
اطلاعات جمع آوری شده توسط شرکت های تحلیلگر قرار است “pseudonymized” (اسم مستعار شده) باشد اساسا به گونه ای درهم ریخته شده که شامل جزئیات قابل شناسایی، مانند نام فرد، نباشد. در عوض، اطلاعات جمع آوری شده به یک شناسه منحصر به فرد اما به ظاهر تصادفی نسبت داده می شود که به جای نام فرد استفاده می شود؛ روشی که ظاهرا حریم خصوصی را بیشتر حفظ می کند.
اما داده های اسم مستعار شده می توانند معکوس شوند و برای شناسایی هویت واقعی افراد استفاده شوند. این امر خطر سرقت اطلاعات کاربران را حتی در داده های به ظاهر محافظت شده افزایش می دهد. و، اطلاعات جمع آوری شده در مورد دستگاه یک فرد می تواند برای شناسایی منحصر به فرد آن دستگاه، که به آن “اثر انگشت دیجیتال” (fingerprinting) گفته می شود، استفاده و همچنین می تواند برای ردیابی فعالیت آن کاربر در برنامه های مختلف و در سراسر اینترنت به کار رود.
با ردیابی کارهایی که شما در دستگاه خود در برنامه های مختلف انجام می دهید، شرکت های تحلیلگر برای مشتریان خود آسان تر می کنند تا پروفایل هایی از کاربران و فعالیت های آن ها بسازند، که می تواند دروازه ای برای سرقت اطلاعات کاربران باشد.
Mixpanel همچنین به مشتریان خود امکان می دهد تا “بازپخش های جلسه” (session replays) را جمع آوری کنند، که به صورت بصری نحوه تعامل کاربران شرکت با یک برنامه یا وب سایت را بازسازی می کند تا توسعه دهنده بتواند اشکالات و مشکلات را شناسایی کند. بازپخش های جلسه قرار است اطلاعات قابل شناسایی شخصی یا حساس، مانند رمز عبور و شماره کارت اعتباری، را از هر جلسه کاربری جمع آوری شده حذف کنند، اما این فرآیند نیز کامل نیست.
به اعتراف خود Mixpanel، بازپخش های جلسه گاهی اوقات می توانند شامل اطلاعات حساسی باشند که نباید ثبت می شدند، اما به طور ناخواسته جمع آوری می شوند. اپل پس از آنکه TechCrunch این رویه را در سال 1398 (2019) فاش کرد، با برنامه هایی که از کد ضبط صفحه استفاده می کردند، برخورد کرد.
اینکه بگوییم Mixpanel باید در مورد نشت اطلاعاتش پاسخگو باشد، شاید کم گویی باشد. بدون دانستن انواع خاص اطلاعات درگیر، مشخص نیست که این نشت تا چه حد بزرگ است یا چند نفر ممکن است تحت تاثیر قرار گیرند. شاید Mixpanel هنوز خودش هم نمی داند.
این گزارش به تفصیل به حادثه نشت اطلاعاتی در Mixpanel و پیامدهای آن برای شرکت هایی مانند OpenAI پرداخت. ما شاهد بودیم که چگونه شرکت های تحلیلگر داده، با جمع آوری حجم وسیعی از اطلاعات کاربران، به اهداف جذابی برای هکرها تبدیل می شوند و نگرانی های جدی را در مورد حریم خصوصی و امنیت داده ها ایجاد می کنند. این رویدادها بر اهمیت مسئولیت پذیری این شرکت ها در حفاظت از اطلاعات کاربران و نیاز به شفافیت بیشتر در هنگام وقوع حوادث امنیتی تاکید دارند تا از تکرار چنین رخدادهایی جلوگیری شود.
A data breach at analytics giant Mixpanel leaves a lot of open questions
