یک حادثه امنیتی در ارائه‌دهنده تجزیه و تحلیل Mixpanel که درست چند ساعت قبل از تعطیلات آخر هفته روز شکرگزاری در ایالات متحده اعلام شد، می‌تواند استانداردی جدید برای چگونگی نکردن اعلام نقض داده‌ها تعیین کند.

برای مرور سریع: در یک پست وبلاگ بسیار مختصر چهارشنبه گذشته، جن تیلور، مدیرعامل Mixpanel، اعلام کرد که این شرکت در تاریخ ۸ نوامبر یک حادثه امنیتی نامشخص را شناسایی کرده است که بر برخی از مشتریانش تأثیر گذاشته است، اما نگفت که چگونه تحت تأثیر قرار گرفته‌اند یا چه تعداد، فقط گفت که Mixpanel مجموعه‌ای از اقدامات امنیتی را برای "ریشه‌کن کردن دسترسی غیرمجاز" انجام داده است.

جن تیلور، مدیرعامل Mixpanel، به ایمیل‌های متعدد TechCrunch که شامل بیش از دوازده سوال درباره نقض داده‌های این شرکت بود، پاسخ نداد. ما از تیلور پرسیدیم که آیا این شرکت هیچ ارتباطی از سوی هکرها دریافت کرده است، مانند درخواست پول، همراه با سایر سوالات مشخص در مورد نقض، از جمله اینکه آیا حساب‌های کارمندان Mixpanel با احراز هویت چند عاملی محافظت می‌شدند.

یکی از مشتریان تحت تأثیر آن OpenAI است که دو روز بعد پست وبلاگ خود را منتشر کرد و آنچه را که Mixpanel در پست خود به صراحت نگفته بود تأیید کرد، مبنی بر اینکه داده‌های مشتری از سیستم‌های Mixpanel گرفته شده است.

OpenAI گفت که این حادثه بر آن تأثیر گذاشته است زیرا به نرم‌افزار ارائه‌شده توسط Mixpanel برای درک نحوه تعامل کاربران OpenAI با بخش‌های خاصی از وب‌سایت خود، مانند مستندات توسعه‌دهنده آن متکی بود.

کاربران OpenAI که تحت تأثیر نقض Mixpanel قرار گرفته‌اند، احتمالاً توسعه‌دهندگانی هستند که برنامه‌ها یا وب‌سایت‌های خودشان برای کار به محصولات OpenAI متکی هستند. OpenAI گفت که داده‌های سرقت شده شامل نام کاربر، آدرس‌های ایمیل، موقعیت مکانی تقریبی آن‌ها (مانند شهر و ایالت) بر اساس آدرس IP آن‌ها، و برخی داده‌های قابل شناسایی دستگاه، مانند سیستم عامل و نسخه مرورگر بود. برخی از این اطلاعات از همان نوع داده‌هایی است که Mixpanel هنگام استفاده از برنامه‌ها و مرور وب‌سایت‌ها از دستگاه‌های افراد جمع‌آوری می‌کند.

از سوی خود، سخنگوی OpenAI، نیکو فلیکس، به TechCrunch گفت که داده‌های نقض شده از Mixpanel "شامل شناسه‌هایی مانند شناسه تبلیغاتی اندروید یا IDFA اپل نبود"، که ممکن بود شناسایی شخصی کاربران خاص OpenAI یا ترکیب فعالیت OpenAI آن‌ها با استفاده از سایر برنامه‌ها و وب‌سایت‌ها را آسان‌تر کرده باشد.

OpenAI در پست وبلاگ خود اعلام کرد که این حادثه مستقیماً کاربران ChatGPT را تحت تأثیر قرار نداده و در نتیجه این نقض، استفاده خود از Mixpanel را خاتمه داده است.

در حالی که جزئیات نقض محدود باقی مانده است، این حادثه باعث بررسی مجدد صنعت تجزیه و تحلیل داده‌ها می‌شود که از جمع‌آوری حجم زیادی از اطلاعات در مورد نحوه استفاده افراد از وب‌سایت‌ها و برنامه‌ها سود می‌برد.

Mixpanel چگونه ضربه‌ها، کلیک‌ها و صفحه نمایش شما را ردیابی می‌کند

Mixpanel یکی از بزرگترین شرکت‌های تجزیه و تحلیل وب و موبایل است که ممکن است هرگز نام آن را نشنیده باشید، مگر اینکه در زمینه توسعه برنامه یا بازاریابی کار کنید. طبق وب‌سایت آن، Mixpanel ۸۰۰۰ مشتری شرکتی دارد - اکنون یکی کمتر، پس از خروج زودهنگام OpenAI.

با توجه به اینکه هر مشتری Mixpanel به طور بالقوه میلیون‌ها کاربر خود را دارد، تعداد افراد عادی که داده‌هایشان در این نقض گرفته شده است می‌تواند قابل توجه باشد. نوع داده‌های نقض شده احتمالاً بسته به هر مشتری Mixpanel، بسته به نحوه پیکربندی جمع‌آوری داده‌ها توسط هر مشتری و میزان داده‌های کاربر جمع‌آوری شده متفاوت خواهد بود.

شرکت‌هایی مانند Mixpanel بخشی از یک صنعت رو به رشد هستند که فناوری‌های ردیابی را ارائه می‌دهند که به شرکت‌ها امکان می‌دهد نحوه تعامل مشتریان و کاربران خود را با برنامه‌ها و وب‌سایت‌هایشان درک کنند. به این ترتیب، شرکت‌های تجزیه و تحلیل می‌توانند مقادیر عظیمی از اطلاعات، از جمله میلیاردها نقطه داده، در مورد مصرف‌کنندگان عادی جمع‌آوری و ذخیره کنند.

به عنوان مثال، یک سازنده برنامه یا توسعه‌دهنده وب‌سایت می‌تواند قطعه‌ای از کد را از یک شرکت تجزیه و تحلیل مانند Mixpanel در برنامه یا وب‌سایت خود جاسازی کند تا این دید را به دست آورد. برای کاربر برنامه یا بازدیدکننده وب‌سایت، این مانند این است که کسی بدون اطلاع شما هنگام مرور یک وب‌سایت یا استفاده از یک برنامه، بالای شانه شما را تماشا کند، در حالی که دائماً هر کلیک یا ضربه، کشیدن انگشت، و فشار دادن لینک را با شرکتی که برنامه یا وب‌سایت را توسعه می‌دهد به اشتراک می‌گذارد.

در مورد Mixpanel، به راحتی می‌توان انواع داده‌هایی را که Mixpanel از برنامه‌ها و وب‌سایت‌هایی که کد آن در آن‌ها جاسازی شده است جمع‌آوری می‌کند، مشاهده کرد. TechCrunch با استفاده از ابزارهای منبع باز مانند Burp Suite، ترافیک شبکه ورودی و خروجی چندین برنامه با کد Mixpanel در داخل آن‌ها - مانند Imgur، Lingvano، Neon و Park Mobile را تجزیه و تحلیل کرد. در آزمایش‌های مختلف ما، درجات مختلفی از اطلاعات مربوط به دستگاه و فعالیت درون برنامه خود را هنگام استفاده از برنامه‌ها به Mixpanel آپلود کردیم.

این داده‌ها می‌تواند شامل فعالیت فرد، مانند باز کردن برنامه، ضربه زدن روی یک لینک، کشیدن انگشت روی یک صفحه، یا ورود با نام کاربری و رمز عبور او باشد. این داده‌های ثبت رویداد سپس به اطلاعات مربوط به کاربر و دستگاه او، از جمله نوع دستگاه (مانند آیفون یا اندروید)، عرض و ارتفاع صفحه، اینکه آیا کاربر از شبکه تلفن همراه یا Wi-Fi استفاده می‌کند، اپراتور شبکه تلفن همراه کاربر، شناسه منحصر به فرد کاربر وارد شده برای آن سرویس (که می‌تواند به کاربر برنامه مرتبط باشد)، و زمان دقیق آن رویداد، پیوست می‌شود.

داده‌های جمع‌آوری شده گاهی اوقات می‌تواند شامل اطلاعاتی باشد که نباید در دسترس باشد. Mixpanel در سال ۲۰۱۸ اعتراف کرد که کد تجزیه و تحلیل آن به طور تصادفی رمزهای عبور کاربران را جمع‌آوری کرده است.

داده‌های جمع‌آوری شده توسط شرکت‌های تجزیه و تحلیل باید نام مستعار داشته باشند - اساساً به گونه‌ای درهم ریخته شوند که شامل جزئیات قابل شناسایی، مانند نام شخص نباشد. در عوض، اطلاعات جمع‌آوری شده به یک شناسه منحصر به فرد اما به ظاهر تصادفی نسبت داده می‌شود که به جای نام شخص استفاده می‌شود؛ روشی ظاهراً حفظ حریم خصوصی‌تر برای ذخیره داده‌ها. اما داده‌های نام مستعار می‌توانند معکوس شده و برای شناسایی هویت‌های واقعی افراد استفاده شوند. و، داده‌های جمع‌آوری شده در مورد دستگاه یک فرد می‌تواند برای شناسایی منحصر به فرد آن دستگاه، معروف به "اثر انگشت"، استفاده شود که همچنین می‌تواند برای ردیابی فعالیت آن کاربر در برنامه‌های مختلف و در سراسر اینترنت استفاده شود.

با ردیابی آنچه در دستگاه خود در برنامه‌های مختلف انجام می‌دهید، شرکت‌های تجزیه و تحلیل ساخت پروفایل‌هایی از کاربران و فعالیت‌هایشان را برای مشتریان خود آسان‌تر می‌کنند.

Mixpanel همچنین به مشتریان خود اجازه می‌دهد تا "بازپخش جلسات" را جمع‌آوری کنند، که به صورت بصری نحوه تعامل کاربران شرکت با یک برنامه یا وب‌سایت را بازسازی می‌کند تا توسعه‌دهنده بتواند اشکالات و مشکلات را شناسایی کند. بازپخش جلسات باید اطلاعات قابل شناسایی شخصی یا حساس، مانند رمزهای عبور و شماره کارت اعتباری را از هر جلسه کاربر جمع‌آوری شده حذف کند، اما این فرآیند نیز کامل نیست.

طبق اعتراف خود Mixpanel، بازپخش جلسات گاهی اوقات می‌تواند شامل اطلاعات حساس باشد که نباید ثبت می‌شد، اما به طور تصادفی جمع‌آوری می‌شوند. اپل پس از افشای این عمل توسط TechCrunch در سال ۲۰۱۹، برنامه‌هایی را که از کد ضبط صفحه استفاده می‌کردند، سرکوب کرد.

گفتن اینکه Mixpanel سوالاتی برای پاسخگویی در مورد نقض خود دارد، شاید کم‌اهمیت جلوه دادن باشد. بدون دانستن انواع خاص داده‌های درگیر، مشخص نیست که این نقض چقدر بزرگ است یا چه تعداد از افراد ممکن است تحت تأثیر قرار گیرند. ممکن است Mixpanel هنوز نداند.

آنچه واضح است این است که شرکت‌هایی مانند Mixpanel بانک‌های عظیمی از اطلاعات در مورد افراد و نحوه استفاده آن‌ها از برنامه‌هایشان را ذخیره می‌کنند و به وضوح به تمرکز هکرهای مخرب تبدیل می‌شوند.

آیا درباره نقض داده‌های Mixpanel بیشتر می‌دانید؟ آیا در Mixpanel یا شرکتی که تحت تأثیر این نقض قرار گرفته کار می‌کنید؟ دوست داریم از شما بشنویم. برای تماس امن با این گزارشگر، می‌توانید از طریق سیگنال با نام کاربری: zackwhittaker.1337 تماس بگیرید.