OpenAI ha dichiarato di non aver rilevato alcuna prova di accesso ai dati degli utenti in seguito a un incidente di sicurezza legato a TanStack, una libreria open source molto utilizzata nell'ecosistema npm (una delle infrastrutture fondamentali su cui si basa gran parte del software moderno).
L'azienda ha precisato che non risultano compromessi né i sistemi di produzione né la proprietà intellettuale. Secondo quanto comunicato, non ci sono segnali che il software di OpenAI sia stato modificato o alterato dall'attacco.
Due dispositivi aziendali coinvolti nell’incidente
L'attacco ha avuto origine da una compromissione della supply chain di TanStack, scoperta all'inizio della settimana. OpenAI ha spiegato che due dispositivi di dipendenti presenti nell'ambiente aziendale sono stati interessati dall'incidente. Dai repository di codice è stato sottratto un quantitativo limitato di credenziali. L'azienda ha sottolineato che nessun altro dato o porzione di codice è stato coinvolto.
OpenAI non ha fornito ulteriori dettagli sulla natura esatta delle credenziali esfiltrate, ma ha confermato che l'impatto è stato circoscritto. OpenAI ha dichiarato di aver isolato immediatamente i sistemi interessati e ha sospeso temporaneamente alcuni flussi di distribuzione del codice, con l'obiettivo di contenere il rischio.
L'azienda ha inoltre avviato la rotazione dei certificati di firma del codice. Questa procedura richiederà agli utenti macOS di aggiornare le applicazioni OpenAI installate sui propri dispositivi. La rotazione dei certificati è una misura standard in caso di potenziale esposizione delle chiavi utilizzate per verificare l'autenticità del software.
Gli attacchi alla supply chain del software sono diventati una delle minacce più rilevanti per le aziende tecnologiche. Colpendo librerie open source ampiamente diffuse, gli attaccanti possono raggiungere indirettamente un numero elevato di organizzazioni. Nel caso di OpenAI, l'azienda sostiene che non vi siano indicazioni di accessi ai dati degli utenti o di compromissione dei sistemi centrali. L'episodio conferma però quanto anche le infrastrutture più monitorate restino esposte ai rischi legati ai componenti software di terze parti.
OpenAI non ha risposto immediatamente a ulteriori richieste di commento da parte di Reuters. Per gli utenti, al momento, non emergono segnali di un impatto diretto, ma il caso rappresenta un promemoria dell'importanza della sicurezza lungo tutta la catena di sviluppo software.
Per conoscere i dettagli della nostra policy editoriale, è disponibile la pagina etica.
