Un incidente de ciberseguridad en el proveedor de análisis Mixpanel, anunciado pocas horas antes del fin de semana de Acción de Gracias en EE. UU., podría establecer un nuevo estándar para esto. no para anunciar una violación de datos.
En resumen: en una breve publicación de blog el miércoles pasado, la directora ejecutiva de Mixpanel, Jen Taylor, anunció que la compañía había descubierto un incidente de seguridad no especificado el 8 de noviembre que afectó a algunos de sus clientes, pero no dijo cómo se vieron afectados ni cuántos, solo que Mixpanel había implementado una serie de medidas de seguridad para “eliminar el acceso no autorizado”.
La directora ejecutiva de Mixpanel, Jen Taylor, no respondió a varios correos electrónicos de TechCrunch que contenían más de una docena de preguntas sobre la violación de datos de la empresa. Le preguntamos a Taylor si la empresa recibió alguna comunicación de los piratas informáticos, como una demanda de dinero, así como otras preguntas específicas sobre la infracción, incluido si las cuentas de los empleados de Mixpanel estaban protegidas mediante autenticación multifactor.
Uno de los clientes afectados es OpenAI, que publicó su propio blog dos días después confirmando lo que Mixpanel no había mencionado explícitamente en su propia publicación, es decir, que los datos de los clientes habían sido tomados de los sistemas de Mixpanel.
OpenAI dijo que se vio afectada por la infracción porque dependía del software proporcionado por Mixpanel para comprender cómo los usuarios de OpenAI interactúan con ciertas partes de su sitio web, como la documentación para desarrolladores.
Los usuarios de OpenAI afectados por la violación de Mixpanel probablemente sean desarrolladores cuyas propias aplicaciones o sitios web dependen de los productos de OpenAI para funcionar. Según OpenAI, los datos robados incluían el nombre proporcionado por el usuario, las direcciones de correo electrónico, su ubicación aproximada (por ejemplo, ciudad y estado) según su dirección IP y algunos datos identificables del dispositivo, como el sistema operativo y la versión del navegador. Parte de esta información son los mismos datos que Mixpanel recopila de los dispositivos de las personas cuando usan aplicaciones y navegan por sitios web.
El portavoz de OpenAI, Niko Felix, dijo a TechCrunch que los datos violados de Mixpanel “no incluían identificadores como el ID de publicidad de Android o el IDFA de Apple”, lo que puede haber facilitado la identificación personal de usuarios específicos de OpenAI o la combinación de sus actividades de OpenAI con el uso de otras aplicaciones y sitios web.
OpenAI dijo en su blog que el incidente no afectó directamente a los usuarios de ChatGPT y suspendió el uso de Mixpanel debido a la infracción.
Aunque los detalles de la violación aún son limitados, este incidente está atrayendo nueva atención en la industria del análisis de datos, que se beneficia de la recopilación de una gran cantidad de información sobre cómo las personas usan los sitios web y las aplicaciones.
Así es como Mixpanel rastrea los toques, los clics y observa su pantalla
Mixpanel es una de las empresas de análisis web y móvil más grandes de la que quizás nunca hayas oído hablar a menos que trabajes en desarrollo de aplicaciones o marketing. Según su sitio web, Mixpanel tiene 8.000 clientes corporativos, uno menos después de la salida anticipada de OpenAI.
Dado que cada cliente de Mixpanel tiene potencialmente millones de usuarios propios, la cantidad de personas comunes y corrientes cuyos datos fueron robados en la violación podría ser significativa. Es probable que el tipo de datos filtrados varíe según el cliente de Mixpanel, dependiendo de cómo cada cliente haya configurado su recopilación de datos y de cuántos datos de usuario haya recopilado.
Empresas como Mixpanel son parte de una industria en auge que proporciona tecnologías de seguimiento que permiten a las empresas comprender cómo sus clientes y usuarios interactúan con sus aplicaciones y sitios web. Esto permite a las empresas de análisis recopilar y almacenar cantidades masivas de información, incluidos miles de millones de puntos de datos, sobre los consumidores comunes.
Por ejemplo, un creador de aplicaciones o un desarrollador de sitios web puede incorporar código de una empresa de análisis como Mixpanel en su aplicación o sitio web para lograr esta visibilidad. Para el usuario de la aplicación o el visitante del sitio web, es como si alguien, sin su conocimiento, estuviera mirando por encima del hombro mientras navega por un sitio web o utiliza una aplicación, mientras transmite constantemente cada clic, toque, deslizamiento y enlace a la empresa que desarrolla la aplicación o el sitio web.
En el caso de Mixpanel, es fácil ver qué tipos de datos recopila Mixpanel de las aplicaciones y sitios web en los que está incrustado su código. Utilizando herramientas de código abierto como Burp Suite, TechCrunch analizó el tráfico de red que entra y sale de múltiples aplicaciones con código Mixpanel, como Imgur, Lingvano, Neon y Park Mobile. En nuestras diversas pruebas, descubrimos que se cargaban en Mixpanel diferentes cantidades de información sobre nuestro dispositivo y las actividades dentro de la aplicación mientras usábamos las aplicaciones.
Estos datos pueden incluir la actividad de la persona, como abrir la aplicación, tocar un enlace, deslizar una página o iniciar sesión con su nombre de usuario y contraseña. Estos datos de registro de eventos luego se agregan a la información sobre el usuario y su dispositivo, incluido el tipo de dispositivo (por ejemplo, iPhone o Android), ancho y alto de la pantalla, si el usuario está en la red telefónica o Wi-Fi, el proveedor de servicios inalámbricos del usuario, el identificador único del usuario que inició sesión para ese servicio (que puede vincularse al usuario de la aplicación) y la marca de tiempo exacta de ese evento.
Los datos recopilados a veces pueden contener información que debería ser tabú. Mixpanel admitió en 2018 que su código analítico capturó accidentalmente las contraseñas de los usuarios.
Los datos recopilados por las empresas de análisis están destinados a ser seudonimizados, es decir, esencialmente cifrados para que no contengan detalles identificables como el nombre de una persona. En cambio, a la información recopilada se le asigna un identificador único pero aparentemente aleatorio que se utiliza en lugar del nombre de una persona. una forma supuestamente más respetuosa con la privacidad de almacenar datos. Sin embargo, los datos seudonimizados se pueden revertir y utilizar para identificar las identidades reales de las personas. Y los datos recopilados sobre el dispositivo de una persona se pueden utilizar para identificar de forma única ese dispositivo, lo que se denomina “huella digital”. Esto también se puede utilizar para rastrear la actividad de ese usuario en varias aplicaciones e Internet.
Al rastrear su actividad en su dispositivo a través de diferentes aplicaciones, las empresas de análisis facilitan a sus clientes la elaboración de perfiles de los usuarios y sus actividades.
Mixpanel también permite a sus clientes recopilar “repeticiones de sesiones”, que reconstruyen visualmente cómo los usuarios de la empresa interactúan con una aplicación o sitio web, lo que permite al desarrollador identificar errores y problemas. Las repeticiones de sesiones tienen como objetivo excluir información confidencial o de identificación personal, como contraseñas y números de tarjetas de crédito, de cada sesión de usuario capturada, pero este proceso tampoco es perfecto.
Según admite el propio Mixpanel, las repeticiones de sesiones a veces pueden contener información confidencial que no debe registrarse pero que se captura accidentalmente. Apple tomó medidas enérgicas contra las aplicaciones que utilizan código de grabación de pantalla después de que TechCrunch expusiera la práctica en 2019.
Decir que Mixpanel necesita responder preguntas sobre su incumplimiento es quizás quedarse corto. Sin conocer los tipos de datos específicos, no está claro qué tan grande es la violación o cuántas personas podrían verse afectadas. Puede ser que Mixpanel aún no lo sepa.
Lo que está claro es que empresas como Mixpanel almacenan enormes bases de datos de información sobre las personas y la forma en que utilizan sus aplicaciones, convirtiéndose claramente en un objetivo para piratas informáticos maliciosos.
¿Sabe más sobre la violación de datos de Mixpanel? ¿Trabaja en Mixpanel o en una empresa afectada por la infracción? Nos encantaría saber de usted. Para contactar a este reportero de forma segura, puede usar Signal usando el nombre de usuario zackwhittaker.1337
About The Author
