OpenAI dan veri sızıntısı açıklaması: ChatGPT kullanıcıları etkilendi mi?

OpenAI’nin açıklamasına göre olay, şirketin API platformunun (platform.openai.com) ön yüzünde web analitiği için kullandığı Mixpanel sistemlerinde gerçekleşti.

Bu yüzden ortada OpenAI sunucularına yönelik bir saldırı veya OpenAI altyapısına sızma durumu bulunmuyor. Sorun tamamen Mixpanel tarafındaki bir güvenlik açığından kaynaklanıyor.

OpenAI, ChatGPT ve diğer ürün kullanıcılarının bu olaydan etkilenmediğinin altını çiziyor.

HANGİ VERİLER ETKİLENMİŞ OLABİLİR?

Olay, API platformunu kullanan bazı kullanıcıların profil ve tarayıcı temelli analitik verileri ile sınırlı. Açıklamaya göre sızdırılmış olma ihtimali bulunan bilgiler şunlar:

API hesabında görünen ad / isim bilgisi API hesabıyla ilişkili e-posta adresi Tarayıcıya göre tahmin edilen yaklaşık konum (şehri, eyalet/bölge, ülke) API hesabına erişirken kullanılan işletim sistemi ve tarayıcı bilgisi Yönlendiren internet siteleri Hesapla ilişkili organizasyon veya kullanıcı ID’leri

OpenAI, sohbet içerikleri, API istekleri, API kullanım kayıtları, parolalar, API anahtarları, ödeme bilgileri veya kimlik belgeleri gibi kritik verilerin ifşa edilmediğini veya tehlikede olmadığını belirtiyor.

MİXPANEL KULLANIMI SONLANDIRILDI

OpenAI, güvenlik incelemesi kapsamında ilk olarak Mixpanel’i tüm üretim servislerinden kaldırdı. Şirket, bunun ardından Mixpanel’den aldığı etkilenen veri setlerini kendi güvenlik ekipleriyle detaylı biçimde incelediğini ve olayın kapsamını anlamak için Mixpanel ve diğer iş ortaklarıyla yakın çalıştığını söylüyor.

Şirket, olaydan etkilenen kurumları, yöneticileri ve bireysel kullanıcıları e-posta yoluyla tek tek bilgilendirme sürecine başladığını açıkladı.

OpenAI, Mixpanel kullanımını sonlandırma kararı aldığını da resmen duyurdu.

KULLANICILARA UYARI

Sızdırılmış olabilecek isim, e-posta adresi ve OpenAI API’ye ait kullanıcı/organizasyon ID’leri gibi veriler, doğrudan hesap ele geçirme anlamına gelmese de, oltalama (phishing) veya sosyal mühendislik saldırılarında kullanılmaya elverişli. OpenAI bu nedenle şu konularda uyarıda bulundu:

Beklenmedik e-posta ve mesajlara, özellikle link veya ek içerenlere karşı temkinli olun.
“OpenAI’den gelmiş gibi görünen” mesajların mutlaka resmî OpenAI alan adlarından gelip gelmediğini kontrol edin.
OpenAI, e-posta, SMS ya da sohbet üzerinden parola, API anahtarı veya doğrulama kodu istemiyor. Bu tür istekler dolandırıcılık işareti olabilir.
Hesaplarınızı daha fazla korumak için çok faktörlü kimlik doğrulamayı (MFA) etkinleştirin.

OpenAI, şu anda olayın Mixpanel ortamı dışına taşındığına dair bir bulguya rastlamadığını, ancak olası kötüye kullanım sinyalleri için sistemlerini yakından izlemeye devam ettiğini belirtiyor.