Un incident de cybersécurité survenu chez le fournisseur d’analyses Mixpanel, annoncé quelques heures seulement avant le week-end de Thanksgiving aux États-Unis, pourrait établir une nouvelle norme sur la manière de ne pas annoncer une violation de données.
Pour récapituler : dans un article de blog simple mercredi dernier, la directrice générale de Mixpanel, Jen Taylor, a annoncé que la société avait détecté un incident de sécurité non spécifié le 8 novembre qui a affecté certains de ses clients, mais n’a pas précisé comment ils ont été touchés, ni combien, seulement que Mixpanel a pris une série de mesures de sécurité pour « éradiquer les accès non autorisés ».
La PDG de Mixpanel, Jen Taylor, n’a pas répondu aux multiples e-mails de TechCrunch, qui comprenaient plus d’une douzaine de questions sur la violation de données de l’entreprise. Nous avons demandé à Taylor si l’entreprise avait reçu des communications des pirates informatiques, telles qu’une demande d’argent, ainsi que d’autres questions spécifiques sur la violation, notamment si les comptes des employés de Mixpanel étaient protégés par une authentification multifacteur.
L’un de ses clients concernés est OpenAI, qui a publié son propre article de blog deux jours plus tard, confirmant ce que Mixpanel n’avait pas dit explicitement dans son propre article, à savoir que les données des clients avaient été extraites des systèmes de Mixpanel.
OpenAI a déclaré avoir été affecté par la violation car il s’appuyait sur un logiciel fourni par Mixpanel pour comprendre comment les utilisateurs d’OpenAI interagissent avec certaines parties de son site Web, telles que sa documentation destinée aux développeurs.
Les utilisateurs d’OpenAI concernés par la violation de Mixpanel sont probablement des développeurs dont les propres applications ou sites Web dépendent des produits OpenAI pour fonctionner. OpenAI a déclaré que ses données volées comprenaient le nom fourni par l’utilisateur, ses adresses e-mail, son emplacement approximatif (comme la ville et l’état) en fonction de son adresse IP, et certaines données identifiables de l’appareil, telles que le système d’exploitation et la version du navigateur. Certaines de ces informations sont le même type de données que Mixpanel collecte sur les appareils des personnes lorsqu’elles utilisent des applications et naviguent sur des sites Web.
Pour sa part, le porte-parole d’OpenAI, Niko Felix, a déclaré à TechCrunch que les données volées provenant de Mixpanel « ne contenaient pas d’identifiants tels que l’identifiant publicitaire Android ou l’IDFA d’Apple », ce qui aurait pu faciliter l’identification personnelle d’utilisateurs OpenAI spécifiques ou combiner leur activité OpenAI avec l’utilisation d’autres applications et sites Web.
OpenAI a déclaré dans son article de blog que l’incident n’avait pas affecté directement les utilisateurs de ChatGPT et avait mis fin à son utilisation de Mixpanel à la suite de la violation.
Bien que les détails de la violation restent limités, cet incident suscite un nouvel examen du secteur de l’analyse de données, qui profite de la collecte de flux d’informations sur la manière dont les gens utilisent les sites Web et les applications.
Comment Mixpanel suit les tapotements, les clics et surveille votre écran
Mixpanel est l’une des plus grandes sociétés d’analyse Web et mobile dont vous n’avez peut-être jamais entendu parler, à moins que vous ne travailliez dans le domaine du développement d’applications ou du marketing. Selon son site Web, Mixpanel compte 8 000 entreprises clientes, soit une de moins désormais, suite à la sortie anticipée d’OpenAI.
Chaque client de Mixpanel comptant potentiellement des millions d’utilisateurs, le nombre de personnes ordinaires dont les données ont été récupérées lors de la violation pourrait être important. Le type de données violées est susceptible de varier selon chaque client Mixpanel, en fonction de la manière dont chaque client a configuré sa collecte de données et de la quantité de données utilisateur qu’il a collectées.
Des entreprises comme Mixpanel font partie d’un secteur en plein essor fournissant des technologies de suivi qui permettent aux entreprises de comprendre comment leurs clients et utilisateurs interagissent avec leurs applications et sites Web. Ainsi, les sociétés d’analyse peuvent collecter et stocker de grandes quantités d’informations, notamment des milliards de points de données, sur les consommateurs réguliers.
Par exemple, un créateur d’applications ou un développeur de sites Web peut intégrer un morceau de code provenant d’une société d’analyse comme Mixpanel dans son application ou son site Web pour obtenir cette visibilité. Pour l’utilisateur de l’application ou le visiteur du site Web, c’est comme si quelqu’un surveillait par-dessus votre épaule à votre insu lorsque vous naviguez sur un site Web ou utilisez une application, alors qu’il partage constamment chaque clic ou appui, glisser et cliquer sur un lien avec la société qui développe l’application ou le site Web.
Dans le cas de Mixpanel, il est facile de voir les types de données que Mixpanel collecte à partir des applications et des sites Web dans lesquels son code est intégré. À l’aide d’outils open source comme Burp Suite, TechCrunch a analysé le trafic réseau entrant et sortant de plusieurs applications contenant du code Mixpanel, telles que Imgur, Lingvano, Neon et Park Mobile. Lors de nos différents tests, nous avons constaté différents degrés d’informations sur notre appareil et l’activité dans l’application téléchargées sur Mixpanel lors de l’utilisation des applications.
Ces données peuvent inclure l’activité de la personne, comme ouvrir l’application, appuyer sur un lien, faire glisser une page ou se connecter avec son nom d’utilisateur et son mot de passe, par exemple. Ces données de journalisation d’événements sont ensuite associées à des informations sur l’utilisateur et son appareil, y compris le type d’appareil (tel qu’un iPhone ou Android), la largeur et la hauteur de l’écran, si l’utilisateur est sur le réseau téléphonique ou Wi-Fi, l’opérateur du réseau cellulaire de l’utilisateur, l’identifiant unique de l’utilisateur connecté pour ce service (qui peut être lié à l’utilisateur de l’application) et l’horodatage précis de cet événement.
Les données collectées peuvent parfois inclure des informations qui devraient être interdites. Mixpanel a admis en 2018 que son code d’analyse avait collecté par inadvertance les mots de passe des utilisateurs.
Les données collectées par les sociétés d’analyse sont censées être pseudonymisées – essentiellement brouillées de manière à ne pas inclure de détails identifiables, tels que le nom d’une personne. Au lieu de cela, les informations collectées sont attribuées à un identifiant unique mais apparemment aléatoire, utilisé à la place du nom d’une personne ; une manière apparemment plus respectueuse de la vie privée de stocker les données. Mais les données pseudonymisées peuvent être inversées et utilisées pour identifier l’identité réelle des personnes. Et les données collectées sur l’appareil d’une personne peuvent être utilisées pour identifier de manière unique cet appareil, appelée « empreinte digitale », qui peut également être utilisée pour suivre l’activité de cet utilisateur sur différentes applications et sur Internet.
En suivant ce que vous faites sur votre appareil à travers diverses applications, les sociétés d’analyse permettent à leurs clients de créer plus facilement des profils d’utilisateurs et leur activité.
Mixpanel permet également à ses clients de collecter des « replays de session », qui reconstituent visuellement la manière dont les utilisateurs de l’entreprise interagissent avec une application ou un site Web afin que le développeur puisse identifier les bugs et les problèmes. Les rediffusions de session visent à exclure les informations personnelles identifiables ou sensibles, telles que les mots de passe et les numéros de carte de crédit, de toute session utilisateur collectée, mais ce processus n’est pas non plus parfait.
De l’aveu même de Mixpanel, les rediffusions de sessions peuvent parfois inclure des informations sensibles qui n’auraient pas dû être enregistrées, mais qui sont collectées par inadvertance. Apple a réprimé les applications qui utilisent du code d’enregistrement d’écran après que TechCrunch a révélé cette pratique en 2019.
Dire que Mixpanel a des questions à répondre sur sa violation est peut-être un euphémisme. Sans connaître les types spécifiques de données impliqués, il n’est pas clair quelle est l’ampleur de cette violation ni combien de personnes pourraient être affectées. Il se peut que Mixpanel ne le sache pas encore.
Ce qui est clair, c’est que des entreprises comme Mixpanel stockent d’énormes banques d’informations sur les personnes et la manière dont elles utilisent leurs applications, et deviennent clairement la cible des pirates malveillants.
En savez-vous plus sur la violation de données Mixpanel ? Travaillez-vous chez Mixpanel ou dans une entreprise touchée par la violation ? Nous aimerions avoir de vos nouvelles. Pour contacter ce journaliste en toute sécurité, vous pouvez le contacter en utilisant Signal via le nom d’utilisateur : zackwhittaker.1337.
Découvrez les dernières révélations sur tout, de l’IA agentique et de l’infrastructure cloud à la sécurité et bien plus encore, lors de l’événement phare Amazon Web Services à Las Vegas. Cette vidéo vous est présentée en partenariat avec AWS.
