ChatGPT Yapımcısı Üçüncü Taraf Veri İhlalini Araştırıyor; OpenAI API Kullanıcılarının Bilgileri Açığa Çıktı
Rashmi Ramesh (raşmiramesh_) •
28 Kasım 2025
Yapay zeka araştırma ve geliştirme devi OpenAI, profil bilgilerinin açığa çıkmasına neden olan bir veri ihlaline maruz kaldığını bildirdikten sonra analiz sağlayıcısı Mixpanel’i kullanmayı bıraktı. Üçüncü taraf hizmet sağlayıcının ihlali, OpenAI’nin API hizmetlerini kullanan geliştiricileri ve kuruluşları etkiler.
Ayrıca bakınız: Geleneksel M365 Veri Koruması Artık Yeterli Değil
OpenAI Çarşamba günü yayınlanan bir ihlal bildiriminde, “Olay Mixpanel sistemlerinde meydana geldi ve bazı API kullanıcılarıyla ilgili sınırlı analitik verileri içeriyordu. ChatGPT ve diğer ürünlerin kullanıcıları etkilenmedi” dedi.
ChatGPT yapımcısı OpenAI, müşterilerin API araçlarıyla nasıl etkileşim kurduğunu anlamasına yardımcı olacak analizleri toplamak için Mixpanel’i kullandı.
OpenAI, “Bu, OpenAI sistemlerinin ihlali değildi. Hiçbir sohbet, API isteği, API kullanım verileri, şifreler, kimlik bilgileri, API anahtarları, ödeme ayrıntıları veya resmi kimlikler tehlikeye atılmadı veya ifşa edilmedi.” dedi.
OpenAI, Mixpanel’in ihlali 9 Kasım’da tespit ettiğini ve ardından OpenAI’ye saldırıyı araştırdığını ve bir tehdit aktörünün “sistemlerinin bir kısmına yetkisiz erişim elde ettiğini ve sınırlı müşteri tanımlayıcı bilgiler ve analitik bilgileri içeren bir veri kümesini dışarı aktardığını” bildirdi.
Şirket, inceleme sırasında Mixpanel’i üretim sistemlerinden kaldırdı, maruz kalma kapsamını belirlemek için veri setini inceledi ve etkilenen tüm kuruluşları, yöneticileri ve kullanıcıları doğrudan bilgilendirmeye başladı.
Şirket, “Mixpanel ortamı dışındaki sistemler veya veriler üzerinde herhangi bir etkiye dair kanıt bulunmadığını” ve daha geniş bir ihlalin işaretlerini izlemeye devam ettiğini söyledi.
Şirket, ihlal hakkında doğrudan kaç kullanıcı ve kuruluşa bildirimde bulunduğuna ilişkin yorum talebine hemen yanıt vermedi.
Güvenliği ihlal edilen veriler, OpenAI platform hesaplarıyla ilişkili adlar, e-posta adresleri, yaklaşık konumlar, işletim sistemleri, tarayıcı bilgileri, yönlendiren web siteleri ve ayrıca hesapla ilişkili kuruluş veya kullanıcı kimlikleri gibi profil ayrıntılarını içerir.
OpenAI, kullanıcılara yönelik birincil riskin sosyal mühendislik ve kimlik avı saldırıları olacağını söyledi. Şirket, müşterileri uyardı: “Adlar, e-posta adresleri ve OpenAI API meta verileri (örneğin, kullanıcı kimlikleri) dahil edildiğinden, güvenilir görünen kimlik avı girişimlerine veya spam’e karşı dikkatli olmanızı öneririz.”
OpenAI, müşterilerin şifrelerini sıfırlamalarına gerek olmadığını ancak şüpheli bağlantılar, ekler veya kimlik doğrulama bilgisi talepleri içeren e-postalara son derece dikkatli davranmaları gerektiğini söyledi.
Açıklama, yapay zeka sağlayıcıları altyapılarını ölçeklendirirken üçüncü taraf satıcı güvenliğine yönelik daha geniş sektör incelemesinin ardından geldi. Yapay zeka geliştirme hatları genellikle harici analitiklere, bulut API’lerine ve açık kaynak model bileşenlerine dayanır ve saldırganların yararlanabileceği yeni bağımlılık noktaları oluşturur. 2025 tarihli bir BitSight raporu, yapay zeka hizmetlerinin hassas telemetriyi ve modelle ilgili verileri tedarikçi ekosistemlerine giderek daha fazla aktardığı ve izleme veya analiz ortaklarını içeren ihlallerin etkisini artırdığı konusunda uyardı.
Gartner’ın Tedarik Zinciri Stratejisi için 2025 Coşku Döngüsü de benzer şekilde, kuruluşlar yapay zekayı operasyonlarına daha derinden dahil ettikçe, tedarikçileri desteklemenin güvenliğinin, yapay zeka kümesinin dayanıklılığı açısından kritik hale geldiğini söyledi.
APIContext CEO’su Mayur Upadhyaya, Mixpanel olayının, güvenilir analiz araçlarının bile hassas verileri yanlışlıkla sızdırabileceğini ve bu nedenle sürekli izlenmesi gerektiğini vurguladığını söyledi. Information Security Media Group’a şunları söyledi: “Makinelerin öncelikli olduğu bir dünyada göremediğiniz şeyi düzeltemezsiniz. Gözlemlenebilirlik her API, web kancası ve üçüncü taraf entegrasyonuna yayılmalıdır.”