OpenAI, daha önce şirketin API platformundaki kullanımı izlemek için kullandığı üçüncü taraf analiz sağlayıcısı Mixpanel’de veri ihlalini içeren bir güvenlik olayını kamuya açıkladı.
İhlal, isimler, e-posta adresleri, işletim sistemi ayrıntıları ve tarayıcı meta verileri dahil olmak üzere sınırlı ancak hassas kullanıcı bilgilerini açığa çıkardı.
OpenAI’ye göre olay Mixpanel’in altyapısından kaynaklandı ve OpenAI’nin kendi sistemlerine yönelik herhangi bir saldırı veya ihlali içermiyor.
9 Kasım 2025’te Mixpanel, ortamının bir kısmına yetkisiz erişim tespit etti ve bir saldırganın, müşterinin tanımlayabileceği analiz verilerini içeren bir veri kümesini dışa aktardığını ortaya çıkardı.
Mixpanel, OpenAI’yi ihlal konusunda bilgilendirdi ve 25 Kasım 2025’e kadar etkilenen belirli veri kümesini paylaştı.
Etkilenen veriler, platform.openai.com ön uç arayüzü aracılığıyla yalnızca OpenAI’nin API ürününün kullanıcılarına bağlandı. ChatGPT kullanıcıları ve diğer OpenAI hizmetleri bu olaydan etkilenmedi.
OpenAI, güvenliğin ihlal edilmesinin sohbet kayıtlarını, API kullanım verilerini, şifreleri, kimlik bilgilerini, API anahtarlarını, ödeme bilgilerini veya devlet tarafından verilen kimlik belgelerini içermediğini vurguladı.
Hangi Veriler İfşa Edildi?
Bu olayda açığa çıkması muhtemel bilgiler şunları içeriyordu:
| Alan | Detaylar |
|---|---|
| İsim | Kullanıcının API hesabında sağladığı ad |
| E-posta Adresi | API hesabına bağlı e-posta |
| Yaklaşık Konum | Şehir, eyalet, ülke (tarayıcının coğrafi konumuna göre) |
| İşletim Sistemi ve Tarayıcı | API hesabına erişmek için kullanılır |
| Yönlendiren Web Siteleri | Kullanıcıları API platformuna yönlendiren URL’ler |
| Kuruluş veya Kullanıcı Kimlikleri | API hesaplarına atanan meta veriler |
OpenAI, ihlalin kişisel ve sistem ayrıntılarını içermesine rağmen kimlik bilgileri, şifreler veya finansal bilgiler gibi son derece hassas verilerin dışa aktarımın parçası olmadığını açıkladı.
OpenAI’nin Yanıtı ve Sonraki Adımlar
Mixpanel’den gelen bildirimin ardından OpenAI, tüm Mixpanel analiz entegrasyonlarını üretim hizmetlerinden hızla kaldırdı ve etkilenen veri kümeleri üzerinde dahili bir inceleme gerçekleştirdi.
Şirket, ihlalin kapsamını ve etkisini tam olarak değerlendirmek için Mixpanel ile yakın işbirliği içerisinde çalıştığını ve etkilenen tüm kuruluşları, yöneticileri ve kullanıcıları doğrudan bilgilendirdiğini belirtiyor.
Ek olarak OpenAI, Mixpanel kullanımını kalıcı olarak durdurmaya karar verdi ve satıcı ekosisteminde genişletilmiş güvenlik incelemeleri yürütüyor ve bundan sonra tüm üçüncü taraf sağlayıcılar için güvenlik gereksinimleri artırılacak.
OpenAI, etkilenen kullanıcıları, açığa çıkan verilerden yararlanabilecek kimlik avı veya sosyal mühendislik saldırılarına karşı dikkatli olmaya çağırıyor. Beklenmedik bir e-posta veya mesaj alan herkes şunları yapmalıdır:
- İstenmeyen iletişimlere, özellikle de bağlantılar veya ekler içerenlere dikkatli davranın.
- OpenAI’den geldiği iddia edilen mesajların meşru olduğundan emin olmak için gönderenin alan adını doğrulayın.
- OpenAI’nin asla e-posta, mesaj veya sohbet yoluyla şifre, API anahtarı veya doğrulama kodu istemeyeceğini unutmayın.
- Daha fazla hesap güvenliği için çok faktörlü kimlik doğrulamayı etkinleştirin.
OpenAI, kullanıcı güveninin misyonunun temeli olduğunu vurgulayarak şeffaflık ve güvenliğe olan bağlılığını yeniden teyit etti. Şirket, güvenlik sorunlarıyla ilgili olarak açık bir şekilde iletişim kuracağını ve ortakları ve satıcıları sıkı güvenlik standartlarına tabi tutacağını taahhüt etti.
Olay, üçüncü taraf hizmet sağlayıcılarının oluşturduğu riskleri hatırlatıyor ve kullanıcı verilerinin korunmasında sürekli güvenlik incelemelerinin ve güçlü tedarikçi yönetimi uygulamalarının önemini vurguluyor.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.