OpenAI, API ürün ön yüzü için kullanılan üçüncü taraf analiz sağlayıcısı Mixpanel’in dahil olduğu bir güvenlik olayını doğruladı. Şirket, OpenAI Mixpanel güvenlik olayının yalnızca Mixpanel sistemlerindeki bir ihlalden kaynaklandığını ve Olumsuz OpenAI’nin altyapısını içerir.
İlk araştırmaya göre, bir saldırgan Mixpanel ortamının bir kısmına yetkisiz erişim sağladı ve bazı OpenAI API kullanıcılarının sınırlı tanımlanabilir bilgilerini içeren bir veri kümesini dışarı aktardı.
OpenAI, ChatGPT kullanıcılarının ve tüketiciye yönelik diğer ürünlerin etkilenmediğini belirtti.
OpenAI Mixpanel Güvenlik Olayı: Ne Oldu?
OpenAI Mixpanel güvenlik olayı, Mixpanel’in sistemlerinin bir bölümüne izinsiz giriş tespit ettiği 9 Kasım 2025’te ortaya çıktı. Saldırgan, tanımlanabilir müşteri bilgileri ve analiz verilerini içeren bir veri kümesini başarıyla dışa aktardı. Mixpanel aynı gün OpenAI’yi bilgilendirdi ve etkilenen veri setini 25 Kasım’da incelenmek üzere paylaştı.
OpenAI, ihlale rağmen hiçbir OpenAI sisteminin tehlikeye atılmadığını ve sohbet içeriği, API istekleri, istemler, çıktılar, API anahtarları, şifreler, ödeme ayrıntıları, resmi kimlikler veya kimlik doğrulama belirteçleri gibi hassas bilgilerin ifşa edilmediğini vurguladı.
Açığa çıkan veri seti, Mixpanel’in OpenAI’nin API ürününün ön uç arayüzü olan platform.openai.com’daki izleme kurulumu aracılığıyla toplanan analiz verileriyle kesinlikle sınırlıydı.
Mixpanel Veri İhlalinde Açığa Çıkma Potansiyeli Olan Bilgiler
OpenAI, veri setinde potansiyel olarak yer alan bilgi türünün şunları içerdiğini doğruladı:
- API hesaplarında sağlanan adlar
- API hesaplarıyla ilişkili e-posta adresleri
- Tarayıcı meta verilerine dayalı kaba konum verileri (şehir, eyalet, ülke)
- İşletim sistemi ve tarayıcı bilgileri
- Yönlendiren web siteleri
- API hesaplarına bağlı kuruluş veya Kullanıcı Kimlikleri
OpenAI, etkilenen bilgilerin sohbet içeriğini, istemleri, yanıtları veya API kullanım verilerini içermediğini belirtti. Ayrıca olayda ChatGPT hesapları, şifreler, API anahtarları, finansal ayrıntılar ve resmi kimlikler yer almıyor.
OpenAI’nin Müdahalesi ve Güvenlik Önlemleri
Mixpanel güvenlik olayına yanıt olarak OpenAI, Mixpanel’i derhal tüm üretim hizmetlerinden kaldırdı ve etkilenen veri kümelerini incelemeye başladı. Şirket, etkilenen kuruluşları, yöneticileri ve kullanıcıları doğrudan iletişim yoluyla aktif olarak bilgilendiriyor.
OpenAI, Mixpanel’in sistemleri dışında herhangi bir etki belirtisi bulamadığını ancak kötüye kullanım işaretlerini yakından izlemeye devam ettiğini belirtti.
OpenAI, kullanıcının güvenini güçlendirmek ve veri korumasını güçlendirmek için aşağıdaki özelliklere sahiptir:
- Mixpanel kullanımını sonlandırdı
- Tüm üçüncü taraf satıcılar genelinde gelişmiş güvenlik incelemeleri yapılmaya başlandı
- İş ortakları ve hizmet sağlayıcılar için artan güvenlik gereksinimleri
- Satıcı ekosisteminin daha geniş bir incelemesini başlattı
OpenAI, güven, güvenlik ve mahremiyetin misyonunun merkezinde yer aldığını ve kullanıcı verilerini içeren olaylarla ilgilenirken şeffaflığın bir öncelik olduğunu yineledi.
Etkilenen Kullanıcılara Yönelik Kimlik Avı ve Sosyal Mühendislik Riskleri
Açıklanan bilgiler son derece hassas veriler içermese de OpenAI, adlar, e-posta adresleri ve kullanıcı kimlikleri gibi etkilenen ayrıntıların kimlik avı veya sosyal mühendislik saldırılarında kullanılabileceği konusunda uyardı.
Şirket, kullanıcıları dikkatli olmaya ve özellikle bağlantı veya eklenti içeren şüpheli mesajlara karşı dikkatli olmaya çağırdı. Kullanıcılar şunları yapmaya teşvik edilir:
- OpenAI’den geldiği iddia edilen mesajları doğrulayın
- İstenmeyen iletişime karşı dikkatli olun
- Hesaplarında çok faktörlü kimlik doğrulamayı (MFA) etkinleştirin
- Şifreleri, API anahtarlarını veya doğrulama kodlarını paylaşmaktan kaçının
OpenAI, şirketin hiçbir zaman e-posta, mesaj veya sohbet yoluyla hassas kimlik bilgileri talep etmediğini vurguladı.
OpenAI, devam eden araştırmalardan yeni bilgilerin ortaya çıkması durumunda daha fazla güncelleme sağlayacağını doğruladı. Etkilenen kullanıcılar şu adrese ulaşabilir: [email protected] destek veya açıklama için.