Një incident i sigurisë kibernetike në kompaninë e analizës Mixpanel, i njoftuar pak orë para festës së Falënderimeve në SHBA, mund të vendosë një standard të ri se si nuk duhet të njoftohet për një shpërthim të të dhënave. Në një postim shumë të shkurtër në blog, CEO-ja e Mixpanel, Jen Taylor, njoftoi se ishin zbuluar probleme me sigurinë më 8 nëntor, duke prekur disa klientë. Megjithatë, nuk u saktësua as se si ishin prekur, as numri i klientëve të prekur. Mixpanel deklaroi vetëm se ishin marrë masa të ndryshme sigurie për të “zhdukur aksesin e paautorizuar”.

Rastet konkrete të ndikuara dhe përmbajtja e të dhënave

Një prej klientëve të prekur, OpenAI, konfirmoi brenda dy ditësh se të dhënat e klientëve ishin marrë nga sistemet e Mixpanel. OpenAI tha se kishte përdorur shërbimet e Mixpanel për të kuptuar sjelljen e përdoruesve ndaj pjesëve të caktuara të faqes, si dokumentacioni për zhvilluesit. Përdoruesit e prekur janë kryesisht zhvillues që përdorin produktet OpenAI. Sipas OpenAI, të dhënat e vjedhura përfshinin emrin e përdoruesit, adresën e emailit, lokacionin e përafërt dhe disa të dhëna për pajisjen, si sistemi operativ apo versioni i shfletuesit. Kjo është e njëjta lloj të dhënash që Mixpanel mbledh normalisht kur përdoruesit vizitojnë aplikacione ose faqe të internetit.

Sipas OpenAI, të dhënat nuk përfshinin identifikues specifikë si Android advertising ID apo Apple IDFA, të cilat mund ta bënin identifikimin personal më të lehtë. Megjithatë, OpenAI pezulloi përdorimin e Mixpanel si rezultat i incidentit. Kjo ngjarje rriti shqetësimet në industrinë e analizës së të dhënave, e cila fiton nga grumbullimi i informacionit mbi mënyrën se si njerëzit ndërveprojnë me faqet apo aplikacionet.

Si funksionon grumbullimi i të dhënave nga Mixpanel dhe rreziqet e mundshme

Mixpanel është një nga kompanitë më të mëdha për analiza web dhe mobile, edhe pse ndoshta nuk keni dëgjuar për të nëse nuk punoni në zhvillim aplikacionesh apo marketing. Sipas saj, Mixpanel ka rreth 8,000 klientë korporativë, ndërsa çdo klient mund të përfaqësojë miliona përdorues fundorë. Të dhënat që janë prekur nga ky incident variojnë sipas mënyrës se si secili klient ka konfiguruar mbledhjen e informacionit, duke rritur shtresën e pasigurisë e rrezikut potencial.

Kompanitë si Mixpanel ofrojnë teknologji që u japin mundësi klientëve të tyre të kuptojnë më mirë përdoruesit duke mbledhur të dhëna për çdo veprim të tyre – klikime, swipe, login, e shumë të tjera. E gjithë kjo u mundëson bizneseve të krijojnë profile të detajuara të përdoruesve për t’ju përshtatur ofertat apo për të përmirësuar shërbimet. Për përdoruesin, gjithçka ndodh në mënyrë të padukshme; është si të të shikojë dikush nga supi pa dijeninë tënde, ndërkohë që çdo veprim i yti ndahet me kompaninë që ka ndërtuar aplikacionin ose faqen.

Po ashtu, Mixpanel mundëson edhe grumbullimin e të dhënave që konsiderohen “pseudonime” – pra, jo drejtpërsëdrejti të lidhura me emrin e dikujt, por që janë të lidhura me një numër unikal të rastësishëm, që potencialisht mund të lidhet pas me identitetin real të përdoruesit. Të dhënat e mbledhura mbi pajisjen mundësojnë krijimin e një “gishtash të pajisjes”, duke mundësuar ndjekjen e aktivitetit të përdoruesit në platforma të ndryshme.

Në rastin e grumbullimit të të dhënave përmes Mixpanel, testimet e pavarura treguan që të dhënat që transmetohen përfshijnë veprime si hapje aplikacioni, klikime, login me emër dhe fjalëkalim (në disa raste), llojin e pajisjes, dimensionet e ekranit, lloj lidhjeje, karrierën e rrjetit celular, kohën e saktë të veprimit dhe ID-në unike të përdoruesit. Në të kaluarën, Mixpanel ka pranuar se kodi i tij ka mbledhur gabimisht edhe fjalëkalime të përdoruesve në disa raste. Edhe pse procesi i mbledhjes së të dhënave duhet të përjashtojë informacione të ndjeshme (si fjalëkalimet apo të dhënat e kartave bankare), në praktikë kjo nuk është gjithmonë e garantuar.

Mixpanel u lejon klientëve të regjistrojnë “session replays”, duke mundësuar rindërtimin vizual të ndërveprimit të përdoruesit me aplikacionin. Edhe pse synohet që nga këto regjistrime të përjashtohen të dhënat personale, vetë kompania ka pranuar se nganjëherë regjistrohen edhe informacione të ndjeshme pa dashje. Si rezultat, kjo sjell rreziqe të theksuara për privatësinë.

Pa informacion të qartë se çfarë lloj të dhënash janë komprometuar saktësisht, nuk dihet sa i madh është ky incident apo sa persona janë prekur. Por është e qartë që kompani si Mixpanel magazinojnë sasi të mëdha të dhënash tepër të rëndësishme rreth përdoruesve dhe janë kthyer në objektiv për hakerat. Në fund, kjo ngjarje ngre pyetje serioze për sigurinë dhe transparencën në industrinë e analizës së të dhënave.

Tags: siguri kibernetike, shkelje e të dhënave, Mixpanel, OpenAI, privatësia e përdoruesve, analiza të dhënash