OpenAI, bazı ChatGPT API müşterilerini, üçüncü taraf analiz sağlayıcısı Mixpanel’deki bir ihlalin ardından sınırlı tanımlayıcı bilgilerin açığa çıktığı konusunda bilgilendiriyor.
Mixpanel, OpenAI’nin API ürününün ön uç arayüzündeki kullanıcı etkileşimlerini izlemek için kullandığı olay analitiği sunar.
AI şirketine göre siber olay, “API’nin bazı kullanıcılarıyla ilgili sınırlı analitik verilerini” etkiledi ve ChatGPT veya diğer ürünlerin kullanıcılarını etkilemedi.
OpenAI bir basın bülteninde şöyle diyor: “Bu, OpenAI sistemlerinin ihlali değildi. Hiçbir sohbet, API isteği, API kullanım verileri, şifreler, kimlik bilgileri, API anahtarları, ödeme ayrıntıları veya resmi kimlikler tehlikeye atılmadı veya ifşa edilmedi.”
Mixpanel, saldırının “sınırlı sayıda müşterimizi etkilediğini” ve şirketin 8 Kasım’da tespit ettiği bir smishing (SMS kimlik avı) kampanyasından kaynaklandığını bildirdi.
OpenAI, Mixpanel’in devam eden soruşturması hakkında bilgilendirildikten sonra 25 Kasım’da etkilenen veri setinin ayrıntılarını aldı.
AI şirketi, ifşa edilen bilgilerin şunları içerebileceğini belirtiyor:
- API hesabında bize sağlanan ad
- API hesabıyla ilişkili e-posta adresi
- API kullanıcı tarayıcısına (şehir, eyalet, ülke) dayalı yaklaşık kaba konum
- API hesabına erişmek için kullanılan işletim sistemi ve tarayıcı
- Yönlendiren web siteleri
- API hesabıyla ilişkili kuruluş veya Kullanıcı Kimlikleri
Hiçbir hassas kimlik bilgisi açığa çıkmadığı için kullanıcıların şifrelerini sıfırlamasına veya API anahtarlarını yeniden oluşturmasına gerek yoktur.
Bazı kullanıcılar, kripto para birimi portföy izleyicisi ve vergi platformu CoinTracker’ın da etkilendiğini, cihaz meta verileri ve sınırlı işlem sayısı da dahil olmak üzere açığa çıkan verilerin etkilendiğini bildiriyor.
OpenAI, olayın tam kapsamını belirlemek için bir soruşturma başlattı. Önlem olarak Mixpanel’i üretim hizmetlerinden kaldırdı ve kuruluşları, yöneticileri ve bireysel kullanıcıları doğrudan bilgilendiriyor.
OpenAI, yalnızca API kullanıcılarının etkilendiğinin altını çizerken, tüm abonelerini bilgilendirdi.
Şirket, sızdırılan verilerin kimlik avı veya sosyal mühendislik saldırılarında kullanılabileceği konusunda uyarıyor ve kullanıcılara olayla ilgili güvenilir görünen kötü amaçlı mesajlara karşı dikkatli olmalarını tavsiye ediyor.
Bağlantı veya ek içeren mesajların resmi bir OpenAI alanından geldiğinden emin olmak için doğrulanması gerekir.
Şirket ayrıca kullanıcıları 2FA’yı etkinleştirmeye ve şifreler, API anahtarları veya doğrulama kodları dahil olmak üzere hassas bilgileri asla e-posta, metin veya sohbet yoluyla göndermemeye teşvik ediyor.
Mixpanel CEO’su Jen Taylor, etkilenen tüm müşterilerle doğrudan iletişime geçildiğini söyledi. “Bizden haber alamadıysanız etkilenmemişsiniz demektir” diye belirtti.
Saldırıya yanıt olarak Mixpanel, etkilenen hesapların güvenliğini sağladı, aktif oturumları ve oturum açma işlemlerini iptal etti, güvenliği ihlal edilen kimlik bilgilerini döndürdü, tehdit aktörünün IP adreslerini bloke etti ve tüm çalışanların şifrelerini sıfırladı. Şirket ayrıca gelecekte benzer olayların yaşanmaması için yeni kontroller de uygulamaya koydu.
Bütçe mevsimi! 300’den fazla CISO ve güvenlik lideri, önümüzdeki yıl için nasıl planlama, harcama ve önceliklendirme yaptıklarını paylaştı. Bu rapor onların içgörülerini derleyerek okuyucuların stratejileri karşılaştırmasına, ortaya çıkan trendleri belirlemesine ve 2026’ya girerken önceliklerini karşılaştırmasına olanak tanıyor.
Üst düzey liderlerin yatırımı nasıl ölçülebilir etkiye dönüştürdüğünü öğrenin.