OpenAI, üçüncü taraf analiz sağlayıcısı Mixpanel’i içeren bir güvenlik ihlalini doğruladığını resmen duyurdu.
ChatGPT’nin geliştiricisi OpenAI, sorumluluğun kendilerine ait olmadığını belirttiği bir güvenlik olayını doğruladı.
Veri ihlali, üçüncü taraf analiz sağlayıcısı Mixpanel’i kapsıyor ve OpenAI’nin API platformuyla bağlantılı sınırlı kullanıcı verilerinin açığa çıkmasına yol açtı.
"Bu, OpenAI’nin sistemlerinde bir ihlal değildi. Hiçbir sohbet, API isteği, API kullanım verisi, parola, kimlik bilgisi, API anahtarı, ödeme bilgisi veya resmi kimlik belgesi ele geçirilmedi ya da ifşa edilmedi," şirket perşembe günü kullanıcılara gönderdiği bilgilendirme e-postasında belirtti.
OpenAI’ye göre Mixpanel, 9 Kasım’da bir saldırganın varlığını fark etti.
Saldırgan, sistemlerinin bir bölümüne yetkisiz erişim sağladı ve sınırlı müşteri tanımlayıcı bilgiler ile analiz verileri içeren bir veri setini dışa aktardı.
OpenAI, etkilenmiş olabilecek bilgilerin adlar, e-posta adresleri ve kullanıcı tanımlayıcılarıyla sınırlı olduğunu söyledi.
OpenAI, Mixpanel kullanımını sonlandırdığını ve ihlalin OpenAI’nin sistemlerindeki herhangi bir zafiyetten kaynaklanmadığını yineledi.
Verileriniz için ne anlama geliyor?
Şirket, ihlali araştıracağını ve çalınan verileri kullanmaya çalışabilecek oltalama türü saldırılar ile sosyal mühendislik dolandırıcılıklarına karşı kullanıcıları ekstra dikkatli olmaya çağırdı.
Kullanıcılara, hesapları için ek bir koruma önlemi olarak çok faktörlü kimlik doğrulamayı etkinleştirmeleri tavsiye edildi.
OpenAI, ChatGPT ile yapılan hiçbir konuşmanın ifşa edilmediğini söylese de, olay, insanların sohbet robotlarına içini dökerken OpenAI’nin ne kadar kişisel veriye erişimi olduğunu hatırlatıyor.
OpenAI, tüm dış ortaklar için daha sıkı güvenlik gerekliliklerini uygulamayı planladığını söyledi.
Bir yapay zeka güvenlik şirketi olan OX Security’de güvenlik araştırma ekip lideri Moshe Siman Tov Bustan, OpenAI’nin Mixpanel analizlerini kullanmasının standart bir uygulama olduğunu ancak ürün iyileştirmesi için gerekli olmayan e-posta adresi ve konum gibi verileri izlemesinin GDPR’nin veri minimizasyonu ilkesini ihlal etme potansiyeli taşıdığını söyledi.
"OpenAI gibi teknoloji devlerinden tek kişilik girişimlere kadar tüm şirketler, bu tür bilgilerin çalınmasını veya ihlal edilmesini önlemek için üçüncü taraflara gönderilen müşteri verilerini azami ölçüde korumayı ve anonimleştirmeyi hedeflemelidir," dedi Euronews Next’e.
"Meşru, denetlenmiş tedarikçiler kullanılıyor olsa bile dışarıya gönderilen her tanımlanabilir veri parçası, potansiyel bir maruziyet noktası daha yaratır."