OpenAI отзывает сертификаты из-за заражения библиотеки с открытым кодом

Компания OpenAI сообщила о серьёзном инциденте, связанном с безопасностью. Внутренний инструмент, используемый для подписи сертификатов приложений под macOS, 31 марта загрузил вредоносное обновление из легитимной библиотеки с открытым исходным кодом.

Это произошло в тот же день, когда хакеры, получившие доступ к аккаунту разработчика, разместили в этой библиотеке два заражённых обновления. Подобная атака теоретически могла позволить злоумышленникам похитить цифровой сертификат компании.

Скомпрометированный сертификат мог бы использоваться для создания поддельных приложений, которые операционные системы и магазины приложений сочли бы легитимными продуктами OpenAI. В зоне риска оказались пользователи нативных приложений для macOS, включая ChatGPT Desktop, Atlas и Codex.

В своём официальном заявлении OpenAI подчеркнула, что на данный момент нет доказательств компрометации пользовательских данных, интеллектуальной собственности или внутренних систем компании. Также не обнаружено признаков воздействия на приложения для iOS, Android или Windows.

В качестве превентивной меры компания объявила об отзыве старых сертификатов. 8 мая поддержка уязвимых версий приложений для macOS будет прекращена. Пользователям дано 30 дней на обновление программного обеспечения до актуальных версий. После этого отозванный сертификат может заблокировать как новые загрузки устаревших версий, так и их первоначальный запуск.