OpenAI, bir saldırganın Mixpanel’in sistemlerinin bir bölümüne erişim sağladığını ve sınırlı sayıda müşteri tanımlayıcı bilgisi ile analitik verilerin yer aldığı bir veri setini dışarı aktardığını bildirdi.
OpenAI, veri analitiği şirketi Mixpanel’de yaşanan bir güvenlik ihlali nedeniyle API kullanıcılarına ait bazı bilgilerin yetkisiz kişilerce ele geçirilmiş olabileceğini açıkladı.
Şirket, 26 Kasım tarihli duyurusunda, bir saldırganın Mixpanel’in sistemlerinin bir bölümüne erişim sağladığını ve sınırlı sayıda müşteri tanımlayıcı bilgisi ile analitik verilerin yer aldığı bir veri setini dışarı aktardığını bildirdi.
Mixpanel, şirketlerin ürünlerini nasıl kullandığını anlamasını sağlayan bir ürün analitiği platformu. Web siteleri ve uygulamalarda kullanıcı davranışlarını ayrıntılı biçimde takip ediyor; hangi özelliklerin ne kadar kullanıldığını, kullanıcıların hangi adımlarda takıldığını, dönüşüm oranlarını ve kullanıcı elde tutma verilerini gösteriyor. OpenAI'ın da aynı amaçlarla bu şirketle anlaşması mevcut.
İhlalin 9 Kasım’da başladığı, Mixpanel’in durumu kendi iç incelemesinin ardından 25 Kasım’da OpenAI’ye bildirdiği kaydedildi. OpenAI, "platform.openai.com" üzerinden API kullanan müşterilerin bilgilerinin bu sızan veri setinde bulunma ihtimaline dikkat çekti.
API nedir, kimler risk altında?
API (Application Programming Interface), bir yazılımın başka bir yazılımla kontrollü şekilde iletişim kurmasını sağlayan arayüz. En basit hâliyle API, iki sistem arasında bir köprü gibi çalışıyor ve bir uygulamanın sahip olduğu özellikleri veya verileri, başka uygulamaların da güvenli ve düzenli biçimde kullanmasını sağlıyor.
Yani yapay zeka ile çalışarak hizmet veren bir şirketiniz varsa API kullanarak OpenAI'ın ChatGPT dil modelini kendi ihtiyacınız doğrultusunda özelleştirip, kullanabiliyorsunuz.
Şirket, bu olayın OpenAI altyapısına yönelik bir siber saldırı olmadığını özellikle vurguladı. ChatGPT içerikleri, sohbet geçmişleri, API istekleri, API kullanım verileri, şifreler, API anahtarları, ödeme bilgileri ve kimlik belgeleri gibi kritik verilerin etkilenmediği belirtildi.
Açıklamada, “Bu OpenAI sistemlerine yönelik bir ihlal değildir. Hiçbir sohbet içeriği, API anahtarı, parola ya da ödeme bilgisi açığa çıkmamıştır,” ifadelerine yer verildi.
Hangi veriler risk altında?
OpenAI, olayın ardından Mixpanel’i üretim ortamından tamamen çıkardı ve güvenlik incelemesine destek verdiğini açıkladı. Bununla birlikte şirket, tedarikçi ekosisteminde daha kapsamlı güvenlik değerlendirmelerine başladığını ve tüm üçüncü taraf sağlayıcılara uygulanacak güvenlik gereksinimlerini artıracağını bildirdi.
Mixpanel, kullanıcı davranışını uygulama ve web siteleri içinde takip eden bir analitik platformu olarak biliniyor. Toplayabildiği veriler; kullanılan cihaz, tarayıcı bilgileri, ekran boyutu, yönlendiren web sayfası, sayfa başlığı, konum bilgisi ve kullanıcıya ait e-posta veya isim gibi tanımlayıcı unsurları içerebiliyor. Ancak toplanan veri düzeyi her şirketin kendi yapılandırmasına göre değişiyor.
OpenAI, sızdırılan verilerin en muhtemel kötüye kullanım alanının kimlik avı saldırıları olduğunu belirterek kullanıcıları dikkatli olmaya çağırdı.
Şirket, beklenmeyen e-postalara ve mesajlara karşı temkinli olunmasını, yalnızca resmi OpenAI alan adlarından gelen iletişimlere güvenilmesini ve OpenAI’nin hiçbir zaman parola, API anahtarı veya doğrulama kodu talep etmediğini hatırlattı. Kullanıcıların hesaplarını çok faktörlü kimlik doğrulama ile korumaları önerildi.
OpenAI, etkilenmiş olabilecek kullanıcı ve kuruluşlara bireysel bildirimlerin yapılmaya başlandığını da duyurdu.