اختراق بيانات في شركة Mixpanel يثير تساؤلات عديدة حول ممارسات الأمان وتحليل البيانات
يبدو أن مزود التحليلات الشهير Mixpanel بدأ عطلة عيد الشكر الأميركي بإعلان قد يشكل مثالًا على كيفية عدم التعامل مع إعلان خرق بيانات. فقبل ساعات قليلة من بدء العطلة، نشرت الشركة تدوينة مقتضبة أعلنت فيها اكتشاف “حادث أمني” وقع في 8 نوفمبر، لكنه لم يتضمن أي تفاصيل واضحة حول طبيعة الهجوم، أو عدد المتضررين، أو نوع البيانات التي تم الوصول إليها.
وبحسب التدوينة، قالت الرئيس التنفيذي للشركة، جين تايلور، إن Mixpanel اتخذت “عدة إجراءات أمنية” لمنع أي وصول غير مصرح به. لكن الشركة تجاهلت الإجابة عن أهم الأسئلة، ولم ترد على أكثر من 12 سؤالًا وجهتها إليها TechCrunch، منها ما إذا كان القراصنة تواصلوا مع الشركة أو طلبوا فدية، أو ما إذا كانت حسابات موظفي Mixpanel تستخدم المصادقة الثنائية.
OpenAI تكشف ما لم تكشفه Mixpanel
بعد يومين فقط من إعلان Mixpanel، نشرت OpenAI بيانًا خاصًا بها لتأكيد ما لم تصرح به Mixpanel علنًا: تمت سرقة بيانات المستخدمين من أنظمة Mixpanel.
وقالت OpenAI إنها تعتمد على Mixpanel لفهم كيفية تفاعل المطورين مع أجزاء من موقعها مثل وثائق واجهات البرمجة. وبناءً عليه، فإن أكثر المتأثرين بالاختراق هم مطورو التطبيقات الذين يستخدمون خدمات OpenAI.
البيانات المسروقة تضمنت:
- الاسم المسجّل من قبل المستخدم
- البريد الإلكتروني
- الموقع التقريبي بناءً على عنوان الـ IP
- بيانات الجهاز مثل نظام التشغيل ومتصفح الويب
ووفقًا لـ OpenAI، فإن البيانات لم تشمل معرّفات الإعلانات مثل Google Advertising ID أو Apple IDFA.
وأكدت الشركة أن الهجوم لم يؤثر على مستخدمي ChatGPT مباشرة، وأنها أوقفت استخدام خدمات Mixpanel بشكل كامل.
ما حجم البيانات التي قد تكون مسرّبة؟
تملك Mixpanel نحو 8,000 عميلًا من الشركات — وأصبحوا الآن 7,999 بعد انسحاب OpenAI. كل عميل من هؤلاء لديه ملايين المستخدمين، ما يعني أن عدد الأشخاص المتأثرين المحتملين قد يكون ضخمًا للغاية.
نوع البيانات المسروقة يختلف بحسب إعدادات كل شركة تستخدم Mixpanel، وقد يشمل:
- سجلّات الاستخدام
- نقرات المستخدم
- معلومات الجهاز
- معرفات الجلسات
- بيانات حساسة غير مقصودة
Mixpanel نفسها اعترفت في 2018 أن شيفرتها كانت تجمع كلمات مرور المستخدمين بشكل غير مقصود.
كيف تعمل Mixpanel على تتبع المستخدمين داخل التطبيقات والمواقع؟
Mixpanel واحدة من أكبر شركات التحليلات التي تستعملها آلاف الشركات لفهم سلوك المستخدمين داخل التطبيقات والمواقع.
تعمل Mixpanel عبر تضمين شيفرة داخل التطبيق أو الموقع، تسمح بجمع بيانات تشمل:
- كل ضغطة، نقرة، أو تمرير
- فتح التطبيق أو تسجيل الدخول
- نوع الجهاز والمقاسات
- شبكة الاتصال ومقدم الخدمة
- المعرفات الفريدة للمستخدم
- الطوابع الزمنية الدقيقة لكل حدث
وبينما تدعي الشركات أن هذه البيانات “مجهولة” أو “مشفرة”، فإن ما يسمى بـ البيانات المجهولة يمكن إعادة ربطه بالهوية الحقيقية من خلال تقنيات مثل البصمة الرقمية (Fingerprinting).
Mixpanel تقدم أيضًا خاصية “إعادة تشغيل الجلسة”، التي تتيح للمطور رؤية تسجيل بصري لكيفية استخدام المستخدم للتطبيق. ورغم محاولة إخفاء البيانات الحساسة، إلا أن Mixpanel أقرت بأن معلومات حساسة قد يتم تسجيلها بالخطأ — وهي مشكلة اكتشفتها TechCrunch سابقًا في 2019.
هل حجم التسريب معروف؟
حتى الآن، المعلومات حول الحادث قليلة للغاية.
قد تكون Mixpanel نفسها غير متأكدة من حجم أو نوع البيانات المسروقة.
ما هو مؤكد أن شركات التحليلات مثل Mixpanel تخزن كميات هائلة من البيانات عن المستخدمين، ما يجعلها هدفًا جذابًا للقراصنة، ويزيد من مخاوف المستخدمين والمنظمات حول الخصوصية وأمان البيانات.
هل لديك معلومات إضافية؟
تسأل TechCrunch أي موظف أو شركة متضررة من الحادث بالتواصل معها بشكل آمن عبر تطبيق Signal عبر الاسم:
zackwhittaker.1337
