'OpenAI hield diefstal bedrijfsgeheimen verborgen'

ChatGPT-maker OpenAI heeft de diefstal van bedrijfsgeheimen vorig jaar verborgen gehouden, zo claimt The New York Times. Een hacker achterhaalde details over producten waar OpenAI aan werkte, maar kwam niet binnen bij de systemen van het bedrijf.

Omdat de hacker geen gegevens van gebruikers of partners had gestolen, besloot de top van OpenAI alleen intern over het incident te vertellen, meldt The New York Times. Dat gebeurde vorig jaar april tijdens een bijeenkomst met alle medewerkers.

De hacker kwam diverse zaken te weten over producten waar OpenAI aan werkte door gesprekken van medewerkers op een intern forum te volgen. In dat berichtensysteem bediscussieerden zij onaangekondigde diensten van het bedrijf. De hacker had geen toegang tot onder meer de broncode van software van het bedrijf of databases met bijvoorbeeld gebruikersgegevens.

Veel bedrijven geven dit soort incidenten door om onderzoek te laten doen of bijvoorbeeld staatshackers van een vijandig land hierachter zitten. Dat is in dit geval niet gebeurd. OpenAI vermoedde dat het ging om een individuele hacker en niet om een staatshacker.

Door Arnoud Wokke

Redacteur Tweakers

Feedback • 04-07-2024 16:28 31

04-07-2024 • 16:28

31

Lees meer

OpenAI sluit wachtlijst SearchGPT-bèta wegens 'overweldigende' vraag
OpenAI sluit wachtlijst SearchGPT-bèta wegens 'overweldigende' vraag Nieuws van 19 augustus 2024
Britse politie arresteert 17-jarige wegens ransomwareaanval MGM-casino's in 2023
Britse politie arresteert 17-jarige wegens ransomwareaanval MGM-casino's in 2023 Nieuws van 22 juli 2024
OpenAI komt met miniversie van GPT-4o
OpenAI komt met miniversie van GPT-4o Nieuws van 18 juli 2024
Microsoft stapt uit bestuur van OpenAI, Apple zou ook niet meer toetreden
Microsoft stapt uit bestuur van OpenAI, Apple zou ook niet meer toetreden Nieuws van 10 juli 2024
OpenAI fixt kwetsbaarheid in Mac-app ChatGPT die gesprekken plaintext opsloeg
OpenAI fixt kwetsbaarheid in Mac-app ChatGPT die gesprekken plaintext opsloeg Nieuws van 4 juli 2024
OpenAI's medeoprichter en voormalige 'chief scientist' begint nieuw AI-bedrijf
OpenAI's medeoprichter en voormalige 'chief scientist' begint nieuw AI-bedrijf Nieuws van 19 juni 2024
Gerucht: Apple onderhandelt met Baidu en Alibaba over AI-functies in China
Gerucht: Apple onderhandelt met Baidu en Alibaba over AI-functies in China Nieuws van 13 juni 2024
OpenAI begint met trainen 'GPT-5'
OpenAI begint met trainen 'GPT-5' Nieuws van 28 mei 2024
Meer producten en artikelen
Beveiliging en antivirus ChatGPT Hack Hackers OpenAI

Reacties (31)

-Moderatie-faq
31
25
10
0
0
9
Wijzig sortering

Sorteer op:

Weergave:
wildhagen
4 juli 2024 16:38
Een hacker achterhaalde details over producten waar OpenAI aan werkte, maar kwam niet binnen bij de systemen van het bedrijf.
Ehm, hoe rijmt dit met het volgende stukje:
De hacker kwam diverse zaken te weten over producten waar OpenAI aan werkte door gesprekken van medewerkers op een intern forum te volgen.
Het ging dus om een intern forum, dan zijn ze dus toch op minimaal één van de systemen (dat forum) van het bedrijf binnengekomen?

Maar los daarvan, niet heel netjes dat ze dit verzwijgen. Geef gewoon openheid van zaken (zonder uiteraard technische details die de omgeving kunnen compromiteren), dat is wel zo open naar je gebruikers, klanten etc.

Nu klinkt het een beetje in de richting van 'security by obscurity', en we weten inmiddels allemaal dat datg geen houdbaar idee is, en het niet werkt op de lange(re) termijn.
Blokker_1999
@wildhagen4 juli 2024 18:53
Het forum kan extern gehost zijn geweest. Dan is de hacker dus nooit binnen geweest op de interne systemen, maar heeft wel toegang gehad tot een forum dat alleen voor mensen van het bedrijf toegankelijk had moeten zijn.
Blinkin @Blokker_19995 juli 2024 12:22
Ik weet niet of je van 'intern' kunt spreken op het moment dat het gehele systeem publiekelijk benaderbaar is. Taalkundig vindt ik dat een contradictie.

Sowieso vindt ik dit artikel qua woordgebruik suggestief. Er wordt gesproken van een hacker terwijl er nergens is ingebroken noch software is gebruikt op een andere manier dan hoe de ontwikkelaar het bedoeld had. Dat heeft niks met hacken te maken.

Diefstal is ook geen sprake van, de informatie stond namelijk publiekelijk gepubliceerd. Dat dit niet de bedoeling was omdat het interne informatie is is wat anders. Het artikel had beter kunnen schrijven dat OpenAI per abuis interne informatie publiekelijk heeft gezet en geconstateerd heeft dat iemand dit verzameld heeft ipv gemeld.

[Reactie gewijzigd door Blinkin op 22 juli 2024 14:52]

Aldy @Blinkin5 juli 2024 13:51
Diefstal is ook geen sprake van, de informatie stond namelijk publiekelijk gepubliceerd. Dat dit niet de bedoeling was omdat het interne informatie is is wat anders. Het artikel had beter kunnen schrijven dat OpenAI per abuis interne informatie publiekelijk heeft gezet en geconstateerd heeft dat iemand dit verzameld heeft ipv gemeld.
Als hetgeen je schrijft juist is, dan is dit zelfs geen artikel waard, behalve dat ze zelf bij OpenAI een gigantische fout gemaakt hebben. En dit zou ook kunnen verklaren waarom ze er geen ruchtbaarheid aan hebben gegeven en ook niet verder hebben gecontroleerd wie mee heeft gekeken.
Blinkin @Aldy5 juli 2024 18:49
Ja daar heeft het alle schijn van. Nu baseer ik dit op 1 bron. Dus in hoeverre dit waar is is lastig te stellen.
Zoals ik het nu lees is dit idd een gigantische fout vanuit OpenAI.
WillySis @wildhagen4 juli 2024 20:18
Je maakt de denkfout dat een intern form ook intern gehost is. Meestal is dat ook wel het geval, maar hoeft helemaal niet. Als het forum op een externe server gehost is, is het helemaal niet gek dat de hacker wel mee kon kijken, maar verder niet bij de systemen zelf kon komen.
Er zijn meer bedrijven die een forum minder goed beveiligen dan de eigen systemen. Vaak hebben dan ook een aantal mensen buiten het bedrijf toegang tot de fora. Denk aan aandeelhouders, investeerders of mensen die met enige regelmaat ingehuurd worden.
Sparks.nl @wildhagen4 juli 2024 16:51
Dat hangt er vanaf. Had Microsoft eerder niet ook security problemen?
Webber @Sparks.nl4 juli 2024 17:24
Intern hoeft natuurlijk niet te duiden op een systeem op locatie, maar wel op een systeem dat intern gebruikt wordt.

Als een bedrijf een software product afneemt bij een derde partij als Microsoft, maar een werknemer heeft een te raden wachtwoord en geen twee-traps authenticatie opgezet, dan kan je praten over dat het interne systeem van het bedrijf niet goed beveiligd is.

Meestal komen hackers toch echt binnen door de weg van de minste weerstand. Dat zijn meestal geen zero days of oepsies in de firewalls of technische infrastructuur van cloud providers als Microsoft.
Sparks.nl @Webber6 juli 2024 00:32
Ja dat klopt, maar goed het deed me wel denken aan de recente issues. Die waren er wel.
kamerplant 4 juli 2024 16:42
Kan iemand hierin context geven? Is een bedrijf als OpenAI verplicht hiervan melding te maken, en aan wie dan? Er zijn geen persoonsgegevens gelekt, dus waarom is het opmerkelijk dat dit intern wordt gehouden?
Christoxz @kamerplant4 juli 2024 17:03
Wellicht is verborgen een verkeerd woord keuze. De bron heeft het over het niet melden.
But the executives decided not to share the news publicly... & The company did not inform the F.B.I. or anyone else in law enforcement.
Het is puur een gerucht/leak, en niet van "OpenAI had het moeten melden aan iedereen!!!"
B64 @kamerplant4 juli 2024 19:08
Kan iemand hierin context geven? Is een bedrijf als OpenAI verplicht hiervan melding te maken, en aan wie dan? Er zijn geen persoonsgegevens gelekt, dus waarom is het opmerkelijk dat dit intern wordt gehouden?
OpenAI ligt nu eenmaal onder een vergrootglas, waardoor alles wat het bedrijf doet (of juist niet doet) groot nieuws is.

Beursgenoteerde bedrijven moeten hacks als deze, waarbij de hacker toegang had tot beursgevoelige informatie, altijd melden. Beleggers vinden dat zo'n bedrijf optimaal beveiligd moet zijn, en dat is dan ook de reden dat veel gehackte bedrijven uitvoerig onderzoek laten doen (zoals in het artikel staat beschreven); niet zelden kun je dat zien als windowdressing.
OpenAI is niet beursgenoteerd, dus heeft het die meldingsplicht niet. Maar ik vermoed dat een hoop mensen hadden verwacht dat ze dit desondanks toch naar buiten hadden gebracht.
raro007 @kamerplant4 juli 2024 16:58
Internforum waar zij discuseerde dus ga maar van uit dat er persoonlijke informatie gestolen is.
Of in die forum heet de medewerkers jantje 999 en een ander jantje 1000?
kamerplant @raro0074 juli 2024 17:22
Als dat het is, gefeliciteerd ermee dan. De hacker had ook ff op LinkedIn kunnen kijken.
Bender @kamerplant4 juli 2024 17:39
Dan is het alsnog de keus van de medewerker om op Linkedin te staan of niet.
Waarbij het de verantwoordelijkheid van de werkgever is als het op een afgesloten deel staat maar uitlekt.

Als persoonsgegevens van mederwerkers (zoals voornaam+achternaam) uitlekken dan is het wel degelijk een datalek.
(maar OpenAI is geen europees bedrijf, dus vraag me af of ze dan wel meldplicht hebben)

[Reactie gewijzigd door Bender op 22 juli 2024 14:52]

Frame164 @Bender4 juli 2024 19:17
Het bedrijf moet wellicht hun IT afdeling eens doorlichten. Daar hebben een aantal mensen liggen slapen.
Bender @Frame1644 juli 2024 20:08
Daar is weinig over te zeggen.
Het kan zijn dat het forum waar het over gaat een saas product is, waar de IT afdeling verder geen invloed op jeeft.
Turiya @Bender5 juli 2024 08:45
Een IT afdeling is evengoed verantwoord voor het veilig configureren (en/of toezien daarop) van SaaS applicaties, wanneer die bedrijfsinformatie verwerken.
Bender @Turiya5 juli 2024 09:31
Onzin.
Als het management beslis om een saas product in te kopen, kun je misschien een titel van het forum instellen, maar je hebt totaal geen toegang tot de software of infrastructuur van dat saas product.
Je hebt geen enkele vorm van controle van die risicos en je kan dus ook niet de verantwoordelijkheid hebben.
Turiya @Bender5 juli 2024 12:49
Kom zeg, dat is wel heel polariserend. Allereerst is dat soort willekeurige inkoop laakbaar handelen dat je als IT ter discussie kan en moet stellen. Vervolgens heb je bij een gemiddeld SaaS product nog allerlei configuratie opties rondom MFA en SSO die de risico's kunnen beïnvloeden.

Je kan inderdaad niet de beveiliging van de infra overnemen.
Bender @Turiya5 juli 2024 13:06
Wat is daar polariserend aan?
Je kan inderdaad niet de beveiliging van de infra overnemen.
Dit is precies het punt wat ik aangeef in mijn reactie. Dus dan bevestig je toch juist wat ik zeg.
Turiya @Bender5 juli 2024 17:53
Los van de maatregelen die de hostingpartij neemt om het SaaS product weerbaar te maken tegen aanvallen zal je zelf ook risico's moeten afwegen en maatregelen moeten nemen.

Bijvoorbeeld het al dan niet inrichten van SSO, procedures voor het roteren van service account wachtwoorden, user offboarding, rechten binnen de applicatie zelf. Daarnaast afhankelijk van het soort SaaS applicatie en de SLA van de leverancier kan het nog nodig zijn om eigen back-ups te regelen. En zo kan je nog wel even doorgaan.
Bender @Turiya5 juli 2024 18:02
Al die dingen kun je tot in detail instellen wat je wilt, maar nogmaals, als de infra niet op orde is gaat dat helemaal niks doen.
SilentDecode 4 juli 2024 22:20
Het wordt tijd dat ze hun bedrijfsnaam aan gaan passen naar 'ClosedAI'. Want open zijn ze in ieder geval niet.
DJanmaat 5 juli 2024 09:00
Je hoeft geen hacker te zijn om deze informatie te krijgen; je kan er ook gewoon als spion werken.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq