Neden önemli: Olay, OpenAI’nin kendi sistemleri değil tedarikçi ekosistemi üzerinden gerçekleşmiş olsa da geliştiricilere ait kimlik ve iletişim verilerinin sızması hedefli oltalama saldırıları riskini artırıyor.
OpenAI, Mixpanel platformunda tespit edilen yetkisiz erişimi resmen teyit etti. Şirketin açıklamasına göre saldırganlar, Mixpanel’de tutulan belirli bir analitik veri kümesine erişmiş olabilir; ancak OpenAI’nin kendi altyapısı ve üretim sistemleri doğrudan ihlal edilmedi. OpenAI, ChatGPT kullanıcılarının etkilenmediğini, olayın yalnızca geliştirici platformu ve API hesaplarıyla ilişkili sınırlı bir kitleyi kapsadığını vurguladı.
Hangi veriler etkilendi?
İhlal kapsamında görüntülenmiş olabilecek veriler arasında bazı API kullanıcılarına ait isimler, e-posta adresleri, yaklaşık konum bilgileri, işletim sistemi ve tarayıcı detayları ile OpenAI hizmetlerine yönlendiren referans/site bilgileri yer alıyor. Şirket, sohbet gecmisi, API istek içerikleri, parolalar, ödeme bilgileri ve API anahtarlarının bu veri kümesinde bulunmadığını ve güvende olduğunu özellikle belirtti.
OpenAI’nin attığı adımlar
OpenAI, güvenlik olayının ardından üretim ortamlarında Mixpanel entegrasyonunu derhal durdurduğunu, ilgili veri kümelerini inceleyerek ihlalin kapsamını netleştirdiğini açıkladı. Etkilenen kurumsal müşteriler ve bireysel geliştiricilerle doğrudan iletişime geçildiği, sızan verilerin kötü niyetli kullanımına karşı aktif izleme yapıldığı da paylaşıldı. Mixpanel tarafında ihlalin bir kimlik avı (smishing) saldırısıyla başladığı ve olayın kolluk kuvvetleriyle birlikte araştırıldığı bilgisi verildi.
Şirket, ortaya çıkan verilerin oltalama saldırılarına zemin hazırlayabileceği uyarısında bulunarak kullanıcıları şüpheli e-posta ve mesajlara karşı dikkatli olmaya çağırdı. OpenAI’nin hiçbir koşulda sifre veya API anahtarı istemeyeceğini hatırlatan açıklamada, hesap güvenliği için cok faktörlü kimlik doğrulamanın etkinleştirilmesi önerildi.
