אובייקטיביות זיהתה פגיעות במודול חיצוני במוצריהם – אבטחת נתוני המשתמשים לא נפגעה

אופנאי מודיעה על איומ אבטחה זיהוי והליכים לתיקון

אופנאי הודיעה כי זוהתה פגיעות אפשרית ברכיב צד שלישי Axios, המשמש במספר יישומים שלה. כתוצאה מכך נאלצה החברה לנקוט צעדים להגנה על תהליך האישור של תוכנות למאק.

- חוסר הוכחות לפגיעה

עד כה לא נמצאו סימנים לכך שהמתקפים גילו נתוני משתמשים, הפריעו לפעילות המערכות או שינו את התוכנה.

- איך סגרו את הפגיעות

החברה עדכנה את תעודות האבטחה וממליצה בחום לכל המשתמשים של יישומי מק להעביר לגרסאות האחרונות. זה יסייע למנוע סיכון להפצת תוכנה מזויפת.

- מהות האירוע

בתחילת מרץ ספריית Axios נלכדה, והגרסה הרעה הועלתה ונרצה בתהליך CI/CD דרך GitHub Actions. הגרסה הרעה קיבלה גישה לתעודות המשמשות לחתימת יישומי ChatGPT Desktop, Codex, Codex‑cli ו-Atlas. הניתוח הראה שהתעודות לא נגנבו באמצעות הקוד הרע.

- בעיה של גרסאות ישנות

יישומי דסק OpenAI למאק שפורסמו לפני 8 מרץ כבר לא יקבלו עדכונים ותמיכה. זה עלול לגרום לאיבוד תפקוד התוכנה.

- אבטחת מפתחות

החברה הדגישה כי סיסמאות ומפתחות API של אופנאי נשארו מאובטחים. הסיבה העיקרית לאירוע הייתה קונפיגורציה שגויה ב-GitHub Actions, שכבר עודכנה.

לכן, אופנאי סיימת את העבודה על ביטול האיום, עדכון התעודות והצעת למשתמשים לעבור לגרסאות מעודכנות של יישומי מק.