تم الإعلان عن حادث الأمن السيبراني في مزود التحليلات Mixpanel قبل ساعات فقط من عطلة نهاية الأسبوع في عيد الشكر في الولايات المتحدة، مما قد يضع معيارًا جديدًا لكيفية لا للإعلان عن خرق البيانات.
للتلخيص: في منشور على مدونة يوم الأربعاء الماضي، أعلن جين تايلور، الرئيس التنفيذي لشركة Mixpanel، أن الشركة اكتشفت حادثًا أمنيًا غير محدد في 8 نوفمبر أثر على بعض عملائها، لكنه لم يذكر كيف تأثروا، ولا عددهم، فقط أن Mixpanel اتخذت مجموعة من الإجراءات الأمنية “للقضاء على الوصول غير المصرح به”.
لم يستجب جين تايلور، الرئيس التنفيذي لشركة Mixpanel، لرسائل البريد الإلكتروني المتعددة من TechCrunch، والتي تضمنت أكثر من عشرة أسئلة حول خرق بيانات الشركة. سألنا تايلور عما إذا كانت الشركة قد تلقت أي اتصال من المتسللين، مثل الطلب على المال، إلى جانب أسئلة محددة أخرى حول الاختراق، بما في ذلك ما إذا كانت حسابات موظفي Mixpanel محمية بمصادقة متعددة العوامل.
أحد عملائها المتأثرين هو OpenAI، الذي نشر مدونته الخاصة بعد يومين، مؤكدًا ما فشل Mixpanel في قوله صراحةً في منشوره الخاص، وهو أن بيانات العميل قد تم أخذها من أنظمة Mixpanel.
قالت OpenAI إنها تأثرت بالاختراق لأنها اعتمدت على البرامج المقدمة من Mixpanel للمساعدة في فهم كيفية تفاعل مستخدمي OpenAI مع أجزاء معينة من موقعها على الويب، مثل وثائق المطورين.
من المحتمل أن يكون مستخدمو OpenAI المتأثرون بخرق Mixpanel هم المطورين الذين تعتمد تطبيقاتهم أو مواقعهم الإلكترونية على منتجات OpenAI للعمل. قالت OpenAI إن بياناتها المسروقة تتضمن اسم المستخدم وعناوين البريد الإلكتروني وموقعه التقريبي (مثل المدينة والولاية) بناءً على عنوان IP الخاص به، وبعض بيانات الجهاز التي يمكن تحديدها، مثل نظام التشغيل وإصدار المتصفح. بعض هذه المعلومات هي نفس نوع البيانات التي تجمعها Mixpanel من أجهزة الأشخاص أثناء استخدامهم للتطبيقات وتصفح مواقع الويب.
من جانبه، قال المتحدث باسم OpenAI، Niko Felix، لـ TechCrunch، إن البيانات المخترقة المأخوذة من Mixpanel “لا تحتوي على معرفات مثل معرف إعلانات Android أو IDFA الخاص بشركة Apple”، مما قد يسهل التعرف شخصيًا على مستخدمي OpenAI محددين أو دمج نشاط OpenAI الخاص بهم مع الاستخدام من التطبيقات ومواقع الويب الأخرى.
قالت OpenAI في منشور مدونتها إن الحادث لم يؤثر على مستخدمي ChatGPT بشكل مباشر وأنهى استخدامه لـ Mixpanel نتيجة للانتهاك.
في حين أن تفاصيل الاختراق لا تزال محدودة، إلا أن هذا الحادث يثير تدقيقًا جديدًا في صناعة تحليل البيانات، التي تستفيد من جمع كميات كبيرة من المعلومات حول كيفية استخدام الأشخاص لمواقع الويب والتطبيقات.
كيف يتتبع Mixpanel النقرات والنقرات ويراقب شاشتك
Mixpanel هي واحدة من أكبر شركات تحليلات الويب والهواتف المحمولة التي ربما لم تسمع عنها من قبل، إلا إذا كنت تعمل في مجال تطوير التطبيقات أو التسويق. وفقًا لموقعها على الإنترنت، لدى Mixpanel 8000 عميل من الشركات – أقل الآن بواحد، بعد الخروج المبكر لشركة OpenAI.
ومع وجود ملايين المستخدمين المحتملين لكل عميل Mixpanel، فإن عدد الأشخاص العاديين الذين تم أخذ بياناتهم في الاختراق يمكن أن يكون كبيرًا. من المحتمل أن يختلف نوع البيانات المخترقة حسب كل عميل من عملاء Mixpanel، اعتمادًا على كيفية تكوين كل عميل لجمع البيانات الخاصة به وكمية بيانات المستخدم التي جمعها.
تعد شركات مثل Mixpanel جزءًا من صناعة مزدهرة توفر تقنيات التتبع التي تسمح للشركات بفهم كيفية تفاعل عملائها ومستخدميها مع تطبيقاتها ومواقعها الإلكترونية. على هذا النحو، يمكن لشركات التحليلات جمع وتخزين كميات هائلة من المعلومات، بما في ذلك مليارات نقاط البيانات، حول المستهلكين العاديين.
على سبيل المثال، يمكن لصانع التطبيقات أو مطور مواقع الويب تضمين جزء من التعليمات البرمجية من شركة تحليلات مثل Mixpanel داخل التطبيق أو موقع الويب الخاص به للحصول على تلك الرؤية. بالنسبة لمستخدم التطبيق أو زائر موقع الويب، فإن الأمر يشبه وجود شخص ما يراقبك دون علمك أثناء تصفح موقع ويب أو استخدام تطبيق، في حين أنه يشارك باستمرار كل نقرة أو نقرة أو تمريرة أو ضغطة رابط مع الشركة التي تطور التطبيق أو موقع الويب.
في حالة Mixpanel، من السهل معرفة أنواع البيانات التي تجمعها Mixpanel من التطبيقات ومواقع الويب المضمنة فيها التعليمات البرمجية الخاصة بها. باستخدام أدوات مفتوحة المصدر مثل Burp Suite، قامت TechCrunch بتحليل حركة مرور الشبكة المتدفقة داخل وخارج العديد من التطبيقات التي تحتوي على تعليمات برمجية Mixpanel بداخلها – مثل Imgur وLingvano وNeon وPark Mobile. في اختباراتنا المختلفة، رأينا درجات متفاوتة من المعلومات حول أجهزتنا والأنشطة داخل التطبيق التي تم تحميلها إلى Mixpanel أثناء استخدام التطبيقات.
يمكن أن تتضمن هذه البيانات نشاط الشخص، مثل فتح التطبيق، أو النقر على رابط، أو تمرير الصفحة، أو تسجيل الدخول باستخدام اسم المستخدم وكلمة المرور، على سبيل المثال. يتم بعد ذلك إرفاق بيانات تسجيل الحدث هذه بمعلومات حول المستخدم وجهازه، بما في ذلك نوع الجهاز (مثل iPhone أو Android)، وعرض الشاشة وارتفاعها، إذا كان المستخدم على شبكة الهاتف أو Wi-Fi، ومشغل الشبكة الخلوية للمستخدم، والمعرف الفريد للمستخدم الذي قام بتسجيل الدخول لتلك الخدمة (والذي يمكن ربطه بمستخدم التطبيق)، والطابع الزمني الدقيق لهذا الحدث.
يمكن أن تتضمن البيانات المجمعة في بعض الأحيان معلومات يجب أن تكون محظورة. واعترفت Mixpanel في عام 2018 بأن كود التحليلات الخاص بها جمع كلمات مرور المستخدمين عن غير قصد.
من المفترض أن تكون البيانات التي تجمعها شركات التحليلات ذات أسماء مستعارة، أي أنها مشوشة بشكل أساسي بطريقة لا تتضمن تفاصيل يمكن التعرف عليها، مثل اسم الشخص. وبدلاً من ذلك، تُنسب المعلومات التي تم جمعها إلى معرف فريد ولكنه يبدو عشوائيًا يتم استخدامه بدلاً من اسم الشخص؛ ظاهريًا طريقة أكثر الحفاظ على الخصوصية لتخزين البيانات. ولكن يمكن عكس البيانات ذات الأسماء المستعارة واستخدامها لتحديد هويات الأشخاص في العالم الحقيقي. ويمكن استخدام البيانات التي تم جمعها حول جهاز الشخص لتحديد هوية هذا الجهاز بشكل فريد، والمعروفة باسم “بصمة الإصبع”، والتي يمكن استخدامها أيضًا لتتبع نشاط ذلك المستخدم عبر تطبيقات مختلفة وعبر الإنترنت.
من خلال تتبع ما تفعله على جهازك عبر التطبيقات المختلفة، تسهل شركات التحليلات على عملائها إنشاء ملفات تعريف للمستخدمين ونشاطهم.
تسمح Mixpanel أيضًا لعملائها بجمع “إعادة تشغيل الجلسة”، والتي تعيد بصريًا بناء كيفية تفاعل مستخدمي الشركة مع تطبيق أو موقع ويب حتى يتمكن المطور من تحديد الأخطاء والمشكلات. تهدف عمليات إعادة تشغيل الجلسة إلى استبعاد معلومات التعريف الشخصية أو المعلومات الحساسة، مثل كلمات المرور وأرقام بطاقات الائتمان، من أي جلسة مستخدم مجمعة، ولكن هذه العملية ليست مثالية أيضًا.
باعتراف Mixpanel نفسه، يمكن أن تتضمن عمليات إعادة تشغيل الجلسة أحيانًا معلومات حساسة لا ينبغي تسجيلها، ولكن يتم جمعها عن غير قصد. اتخذت شركة Apple إجراءات صارمة ضد التطبيقات التي تستخدم رمز تسجيل الشاشة بعد أن كشفت TechCrunch عن هذه الممارسة في عام 2019.
ربما يكون القول بأن لدى Mixpanel أسئلة يجب الإجابة عليها بشأن الاختراق هو قول بخس. وبدون معرفة الأنواع المحددة من البيانات المعنية، ليس من الواضح مدى حجم الانتهاك أو عدد الأشخاص الذين قد يتأثرون. ربما لا يعرف Mixpanel بعد.
ما هو واضح هو أن شركات مثل Mixpanel تخزن كميات هائلة من المعلومات حول الأشخاص وكيفية استخدامهم لتطبيقاتهم، ومن الواضح أنها أصبحت محط تركيز المتسللين الخبيثين.
هل تعرف المزيد عن خرق بيانات Mixpanel؟ هل تعمل في Mixpanel أو شركة متضررة من الاختراق؟ نحن نحب أن نسمع منك. للتواصل بشكل آمن مع هذا المراسل، يمكنك التواصل معه باستخدام تطبيق Signal عبر اسم المستخدم: zackwhittaker.1337
اطلع على أحدث ما تم الكشف عنه حول كل شيء بدءًا من الذكاء الاصطناعي الوكيل والبنية التحتية السحابية وحتى الأمان وغير ذلك الكثير من حدث Amazon Web Services الرائد في لاس فيغاس. تم تقديم هذا الفيديو إليك بالشراكة مع AWS.
