Uma violação de dados na gigante analítica Mixpanel deixa muitas questões em aberto

Um incidente de segurança cibernética no provedor de análise Painel de mixagem anunciado poucas horas antes do fim de semana do feriado de Ação de Graças nos EUA pode estabelecer um novo padrão de como não para anunciar uma violação de dados.

Para recapitular: Em uma postagem de blog básica na última quarta-feira, a presidente-executiva da Mixpanel, Jen Taylor, anunciou que a empresa detectou um incidente de segurança não especificado em 8 de novembro que afetou alguns de seus clientes, mas não disse como eles foram afetados, nem quantos, apenas que a Mixpanel tomou uma série de ações de segurança para “erradicar o acesso não autorizado”.

A CEO da Mixpanel, Jen Taylor, não respondeu a vários e-mails do TechCrunch, que incluíam mais de uma dúzia de perguntas sobre a violação de dados da empresa. Perguntamos a Taylor se a empresa havia recebido alguma comunicação dos hackers, como uma demanda por dinheiro, junto com outras perguntas específicas sobre a violação, incluindo se as contas dos funcionários do Mixpanel estavam protegidas com autenticação multifatorial.

Um de seus clientes afetados é a OpenAI, que publicou sua própria postagem no blog dois dias depois, confirmando o que a Mixpanel não disse explicitamente em sua própria postagem, que os dados dos clientes foram retirados dos sistemas da Mixpanel.

A OpenAI disse que foi afetada pela violação porque confiou no software fornecido pela Mixpanel para ajudar a entender como os usuários da OpenAI interagem com certas partes de seu site, como sua documentação do desenvolvedor.

Os usuários do OpenAI afetados pela violação do Mixpanel provavelmente serão desenvolvedores cujos próprios aplicativos ou sites dependem dos produtos do OpenAI para funcionar. A OpenAI disse que seus dados roubados incluíam o nome fornecido pelo usuário, endereços de e-mail, sua localização aproximada (como cidade e estado) com base no endereço IP e alguns dados identificáveis ​​do dispositivo, como o sistema operacional e a versão do navegador. Algumas dessas informações são o mesmo tipo de dados que o Mixpanel coleta dos dispositivos das pessoas enquanto elas usam aplicativos e navegam em sites.

Por sua vez, o porta-voz da OpenAI, Niko Felix, disse ao TechCrunch que os dados violados retirados do Mixpanel “não continham identificadores como ID de publicidade do Android ou IDFA da Apple”, o que pode ter facilitado a identificação pessoal de usuários específicos do OpenAI ou a combinação de sua atividade OpenAI com o uso de outros aplicativos e sites.

A OpenAI disse em sua postagem no blog que o incidente não afetou diretamente os usuários do ChatGPT e encerrou o uso do Mixpanel como resultado da violação.

Embora os detalhes da violação permaneçam limitados, este incidente atrai um novo escrutínio da indústria de análise de dados, que lucra com a recolha de quantidades de informações sobre como as pessoas utilizam websites e aplicações.

Como o Mixpanel rastreia toques, cliques e observa sua tela

Mixpanel é uma das maiores empresas de análise web e móvel da qual você talvez nunca tenha ouvido falar, a menos que trabalhe no desenvolvimento de aplicativos ou na área de marketing. De acordo com seu site, a Mixpanel tem 8.000 clientes corporativos – um a menos agora, após a saída antecipada da OpenAI.

Com cada cliente do Mixpanel tendo potencialmente milhões de usuários próprios, o número de pessoas comuns cujos dados foram obtidos na violação pode ser significativo. O tipo de dados violados provavelmente variará de acordo com cada cliente do Mixpanel, dependendo de como cada cliente configurou sua coleta de dados e da quantidade de dados do usuário que eles coletaram.

Empresas como a Mixpanel fazem parte de uma indústria em expansão que fornece tecnologias de rastreamento que permitem às empresas entender como seus clientes e usuários interagem com seus aplicativos e sites. Como tal, as empresas de análise podem recolher e armazenar grandes quantidades de informações, incluindo milhares de milhões de pontos de dados, sobre consumidores regulares.

Por exemplo, um criador de aplicativo ou desenvolvedor de site pode incorporar um trecho de código de uma empresa de análise como a Mixpanel em seu aplicativo ou site para obter essa visibilidade. Para o usuário do aplicativo ou visitante do site, é como ter alguém vigiando por cima do seu ombro, sem o seu conhecimento, enquanto você navega em um site ou usa um aplicativo, enquanto compartilha constantemente cada clique ou toque, deslize e pressionamento de link com a empresa que desenvolve o aplicativo ou site.

No caso do Mixpanel, é fácil ver os tipos de dados que o Mixpanel coleta dos aplicativos e sites nos quais seu código está incorporado. Usando ferramentas de código aberto como Burp Suite, o TechCrunch analisou o tráfego de rede que entra e sai de vários aplicativos com código Mixpanel dentro – como Imgur, Lingvano, Neon e Park Mobile. Em nossos vários testes, vimos vários graus de informações sobre nosso dispositivo e atividades no aplicativo carregadas no Mixpanel durante o uso dos aplicativos.

Esses dados podem incluir a atividade da pessoa, como abrir o aplicativo, tocar em um link, deslizar uma página ou fazer login com nome de usuário e senha, por exemplo. Esses dados de registro de eventos são então anexados a informações sobre o usuário e seu dispositivo, incluindo o tipo de dispositivo (como iPhone ou Android), a largura e a altura da tela, se o usuário estiver na rede telefônica ou Wi-Fi, a operadora de rede celular do usuário, o identificador exclusivo do usuário conectado para esse serviço (que pode ser vinculado ao usuário do aplicativo) e o carimbo de data/hora preciso para esse evento.

Os dados recolhidos podem por vezes incluir informações que deveriam estar fora dos limites. Mixpanel admitiu em 2018 que seu código analítico coletava inadvertidamente as senhas dos usuários.

Os dados coletados por empresas de análise devem ser pseudonimizados – essencialmente embaralhados de forma que não incluam detalhes identificáveis, como o nome de uma pessoa. Em vez disso, as informações coletadas são atribuídas a um identificador único, mas aparentemente aleatório, usado no lugar do nome de uma pessoa; uma forma ostensivamente mais preservadora de privacidade de armazenar os dados. Mas dados pseudonimizados pode ser revertido e usado para identificar as identidades das pessoas no mundo real. E os dados coletados sobre o dispositivo de uma pessoa podem ser usados ​​para identificar exclusivamente esse dispositivo, conhecido como “impressão digital”, que também pode ser usado para rastrear a atividade desse usuário em diferentes aplicativos e na Internet.

Ao rastrear o que você faz em seu dispositivo em vários aplicativos, as empresas de análise facilitam para seus clientes a criação de perfis de usuários e suas atividades.

O Mixpanel também permite que seus clientes coletem “replays de sessão”, que reconstroem visualmente como os usuários da empresa interagem com um aplicativo ou site para que o desenvolvedor possa identificar bugs e problemas. As repetições de sessão destinam-se a excluir informações pessoalmente identificáveis ​​ou confidenciais, como senhas e números de cartão de crédito, de qualquer sessão de usuário coletada, mas esse processo também não é perfeito.

Como o próprio Mixpanel admite, os replays das sessões às vezes podem incluir informações confidenciais que não deveriam ter sido registrados, mas são coletados inadvertidamente. A Apple reprimiu aplicativos que usam código de gravação de tela depois que o TechCrunch expôs a prática em 2019.

Dizer que o Mixpanel tem perguntas a responder sobre sua violação talvez seja um eufemismo. Sem conhecer os tipos específicos de dados envolvidos, não está claro quão grande é esta violação ou quantas pessoas podem ser afetadas. Pode ser que o Mixpanel ainda não saiba.

O que está claro é que empresas como a Mixpanel armazenam enormes bancos de informações sobre as pessoas e como elas usam seus aplicativos, e estão claramente se tornando um foco para hackers mal-intencionados.

Você sabe mais sobre a violação de dados do Mixpanel? Você trabalha na Mixpanel ou em alguma empresa afetada pela violação? Adoraríamos ouvir de você. Para entrar em contato com este repórter com segurança, você pode entrar em contato usando o Signal através do nome de usuário: zackwhittaker.1337

Confira as últimas revelações sobre tudo, desde IA de agência e infraestrutura em nuvem até segurança e muito mais, no principal evento da Amazon Web Services em Las Vegas. Este vídeo foi apresentado a você em parceria com a AWS.