ChatGPT kullanıcılarının verileri Mixpanel iş ortağı aracılığıyla OpenAI ihlali nedeniyle açığa çıktı

YENİArtık Haberler yazılarını dinleyebilirsiniz!

ChatGPT iki yıldan kısa bir sürede yenilikten gerekliliğe dönüştü. Artık çalışma, öğrenme, yazma, kodlama ve arama şeklinizin bir parçası. OpenAI, hizmetin haftalık yaklaşık 800 milyon aktif kullanıcıya sahip olduğunu ve bunun onu dünyadaki en büyük tüketici platformlarıyla aynı ağırlık sınıfına soktuğunu söyledi.

Bir araç günlük hayatınızın bu kadar merkezi haline geldiğinde, onu çalıştıran kişilerin verilerinizi güvende tutabileceğini varsayarsınız. Bu güven, yakın zamanda OpenAI'nin, API hesaplarıyla bağlantılı kişisel bilgilerin üçüncü taraf ortaklarından birinin dahil olduğu bir ihlal nedeniyle açığa çıktığını doğrulamasının ardından darbe aldı.

ÜCRETSİZ CyberGuy Raporum için kaydolun
En iyi teknik ipuçlarımı, acil güvenlik uyarılarımı ve özel fırsatlarımı doğrudan gelen kutunuza alın. Ayrıca, Nihai Dolandırıcılık Hayatta Kalma Rehberime anında erişebileceksiniz — bana katıldığınızda ücretsiz CYBERGUY.COM bülten.

Bu ihlal, güvenilir analiz ortaklarının bile hassas hesap ayrıntılarını nasıl açığa çıkarabileceğini vurguluyor. (Kurt “CyberGuy” Knutsson)

ChatGPT ihlali hakkında bilmeniz gerekenler

OpenAI'nin bildirim e-postası, ihlali doğrudan şirketin API platformunda kullandığı büyük bir analiz sağlayıcısı olan Mixpanel'e yerleştiriyor. E-posta, OpenAI'nin kendi sistemlerinin ihlal edilmediğini vurguluyor. Hiçbir sohbet geçmişi, fatura bilgisi, şifre veya API anahtarı açığa çıkmadı. Bunun yerine, çalınan veriler Mixpanel ortamından geldi ve adları, e-posta adreslerini, Kuruluş Kimliklerini, kaba konumu ve kullanıcı tarayıcılarından gelen teknik meta verileri içeriyordu.

SAHTE CHATGPT UYGULAMALARI HABERİNİZ OLMADAN TELEFONUNU EHLİYET EDİYOR

Bu görünüşte zararsız gibi görünüyor. E-posta bu “sınırlı” analiz verilerini adlandırıyor, ancak etiket her şeyden çok PR desteği gibi görünüyor. Saldırganlar için bu tür meta veriler altın değerindedir. Kim olduğunuzu, nerede çalıştığınızı, hangi makineyi kullandığınızı ve hesabınızın nasıl yapılandırıldığını ortaya koyan bir veri kümesi, tehdit aktörlerine hedefli kimlik avı ve kimliğe bürünme kampanyaları yürütmek için ihtiyaç duydukları her şeyi sağlar.

En büyük tehlike işareti Kuruluş Kimliklerinin açığa çıkmasıdır. OpenAI API'sini temel alan herkes bu tanımlayıcıların ne kadar hassas olduğunu bilir. Dahili faturalandırmanın, kullanım sınırlarının, hesap hiyerarşisinin ve destek iş akışlarının merkezinde yer alırlar. Bir saldırgan, sahte fatura uyarısı veya destek talebi sırasında Kuruluş Kimliğinizi alıntılarsa, mesajın dolandırıcılık olarak değerlendirilmesi birdenbire çok zorlaşır.

OpenAI'nin yeniden yapılandırılmış zaman çizelgesi daha büyük soruları gündeme getiriyor. Mixpanel ilk olarak 8 Kasım'da bir smishing saldırısı tespit etti. Saldırganlar ertesi gün dahili sistemlere erişerek OpenAI'nin verilerini dışarı aktardı. Mixpanel'in 25 Kasım'da OpenAI'ye söylemesinden önce bu veriler iki haftadan fazla bir süre boyunca ortada yoktu. Ancak o zaman OpenAI herkesi uyardı. Bu uzun ve endişe verici bir sessiz dönemdir ve API kullanıcılarını risk altında olduklarını bile bilmeden hedefli saldırılara maruz bırakmıştır. OpenAI ertesi gün Mixpanel'in bağlantısını kestiğini söylüyor.

Riskin boyutu ve arkasındaki politika sorunu

Burada zamanlama ve ölçek önemli. ChatGPT, üretken yapay zeka patlamasının merkezinde yer alıyor. Sadece tüketici trafiği yok. Geliştiricilerden, çalışanlardan, girişimlerden ve işletmelerden hassas konuşmalar var. İhlal, tüketici sohbet geçmişinden ziyade API hesaplarını etkilese de, ortaya çıkan durum hala daha geniş bir sorunun altını çiziyor. Bir platform haftalık olarak neredeyse bir milyar kullanıcıya ulaştığında, herhangi bir çatlak ulusal ölçekte bir sorun haline gelir.

Düzenleyiciler tam olarak bu senaryo hakkında uyarıda bulunuyorlar. Satıcı güvenliği, modern teknoloji politikasının zayıf halkalarından biridir. Veri koruma yasaları genellikle bir şirketin verdiğiniz bilgilerle ne yaptığına odaklanır. Bu verileri yol boyunca işleyen üçüncü taraf hizmet zincirinin tamamı etrafında nadiren güçlü korkuluklar sağlarlar. Mixpanel belirsiz bir operatör değildir. Binlerce şirketin güvendiği, yaygın olarak kullanılan bir analiz platformudur. Ancak yine de bir saldırganın hiçbir zaman erişemeyeceği bir veri kümesini kaybetti.

Şirketler, analitik sağlayıcılarına temel altyapıya davrandıkları gibi davranmalıdır. Satıcılarınızın sizinle aynı güvenlik standartlarına uyduğunu garanti edemiyorsanız, ilk etapta veri toplamamalısınız. ChatGPT kadar etkili bir platform için sorumluluk daha da yüksek. İnsanlar tek bir yapay zeka sorgusunun arkasında kaç tane görünmez hizmetin bulunduğunu tam olarak anlayamıyorlar. Arkasındaki uzun iş ortakları listesine değil, etkileşimde bulundukları markaya güveniyorlar.

Saldırganlar, meşru görünen ikna edici kimlik avı e-postaları oluşturmak için sızdırılan meta verileri kullanabilir. (Getty Images aracılığıyla Jaap Arriens/NurPhoto)

Yapay zeka araçlarını kullanırken daha güvende kalmak için atabileceğiniz 8 adım

Her gün yapay zeka araçlarına güveniyorsanız, verileriniz başka birinin analiz panosunda kaybolmadan önce kişisel güvenliğinizi sıkılaştırmanız faydalı olacaktır. Her satıcının bilgilerinizi nasıl ele alacağını kontrol edemezsiniz ancak saldırganların sizi hedeflemesini çok daha zorlaştırabilirsiniz.

1) Güçlü, benzersiz şifreler kullanın

Her AI hesabına sanki değerli bir şey tutuyormuş gibi davranın çünkü öyledir. Güvenilir bir şifre yöneticisinde saklanan uzun, benzersiz şifreler, bir platformun ihlali durumunda ortaya çıkabilecek sonuçları azaltır. Bu aynı zamanda sizi, saldırganların birden fazla hizmette aynı şifreyi denediği kimlik bilgisi doldurmaya karşı da korur.

Daha sonra, e-postanızın geçmişteki ihlallere maruz kalıp kalmadığına bakın. 1 numaralı şifre yöneticimiz (bkz. Cyberguy.com/Passwords) seçimimiz, e-posta adresinizin veya şifrelerinizin bilinen sızıntılarda görünüp görünmediğini kontrol eden yerleşik bir ihlal tarayıcısı içerir. Bir eşleşme bulursanız, yeniden kullanılan şifreleri hemen değiştirin ve bu hesapları yeni, benzersiz kimlik bilgileriyle güvence altına alın.

2025'in uzman incelemesinden geçmiş en iyi şifre yöneticilerine şu adresten göz atın: Cyberguy.com.

2) Kimlik avına karşı dayanıklı 2FA'yı açın

Yapay zeka platformları ana hedefler haline geldi, bu nedenle daha güçlü 2FA'ya güveniyorlar. Bir kimlik doğrulama uygulaması veya donanım güvenlik anahtarı kullanın. SMS kodları ele geçirilebilir veya yeniden yönlendirilebilir, bu da onları büyük ölçekli kimlik avı kampanyaları sırasında güvenilmez hale getirir.

3) Güçlü bir antivirüs yazılımı kullanın

Kimlik avı saldırılarından korunmak için atabileceğiniz bir diğer önemli adım da cihazlarınıza güçlü bir antivirüs yazılımı yüklemektir. Bu aynı zamanda sizi kimlik avı e-postalarına ve fidye yazılımı dolandırıcılıklarına karşı uyararak kişisel bilgilerinizi ve dijital varlıklarınızı güvende tutmanıza yardımcı olabilir.

Kötü amaçlı yazılım yükleyen ve potansiyel olarak özel bilgilerinize erişen kötü amaçlı bağlantılardan kendinizi korumanın en iyi yolu, tüm cihazlarınızda güçlü bir virüsten koruma yazılımının yüklü olmasıdır. Bu koruma aynı zamanda kimlik avı e-postalarına ve fidye yazılımı dolandırıcılıklarına karşı sizi uyararak kişisel bilgilerinizi ve dijital varlıklarınızı güvende tutar.

Windows, Mac, Android ve iOS cihazlarınız için 2025'in en iyi antivirüs koruması kazananları için seçtiklerimi şu adresten edinin: Cyberguy.com.

EBEVEYNLER OĞLUNUN İNTİHARINDAN CHATGPT'İ SUÇLUYOR, DAVA, OPENAI'NİN GENÇ ÖLÜMÜNDEN ÖNCE İKİ KEZ GÜVENLİK ÖNLEMLERİNİ ZAYIFLADIĞINI İDDİA EDİYOR

4) Paylaştığınız kişisel veya hassas verileri sınırlayın

Özel konuşmaları, şirket belgelerini, tıbbi notları veya adresleri sohbet penceresine yapıştırmadan önce iki kez düşünün. Birçok AI aracı, siz vazgeçmediğiniz sürece model iyileştirmeleri için yakın geçmişi saklar ve bazıları verileri harici satıcılar aracılığıyla yönlendirir. Yapıştırdığınız her şey beklediğinizden daha uzun süre dayanabilir.

5) Çevrimiçi ayak izinizi küçültmek için bir veri kaldırma hizmeti kullanın

Saldırganlar genellikle sızdırılan meta verileri kişi arama sitelerinden ve eski listelerden elde ettikleri bilgilerle birleştirir. İyi bir veri kaldırma hizmeti, açığa çıkan kişisel ayrıntılar için web'i tarar ve sizin adınıza kaldırma taleplerini gönderir. Bazı hizmetler, yayından kaldırma için özel bağlantılar göndermenize bile izin verir. Bu izlerin temizlenmesi, hedefli kimlik avı ve kimliğe bürünme saldırılarının gerçekleştirilmesini çok daha zorlaştırır.

Hiçbir hizmet verilerinizin internetten tamamen kaldırılmasını garanti edemezken, veri kaldırma hizmeti gerçekten akıllıca bir seçimdir. Ucuz değiller ve gizliliğiniz de değil. Bu hizmetler, kişisel bilgilerinizi yüzlerce web sitesinden aktif olarak izleyerek ve sistematik olarak silerek tüm işi sizin için yapar. Bana gönül rahatlığı veren şey bu ve kişisel verilerinizi internetten silmenin en etkili yolu olduğu kanıtlandı. Mevcut bilgileri sınırlayarak, dolandırıcıların ihlallerden elde edilen verilerle karanlık ağda bulabilecekleri bilgileri çapraz referanslama riskini azaltır ve sizi hedeflemelerini zorlaştırırsınız.

Veri kaldırma hizmetleri için en iyi seçimlerime göz atın ve şu adresi ziyaret ederek kişisel bilgilerinizin zaten internette bulunup bulunmadığını öğrenmek için ücretsiz bir tarama yapın: Cyberguy.com.

Kişisel bilgilerinizin halihazırda internette bulunup bulunmadığını öğrenmek için ücretsiz taramadan yararlanın: Cyberguy.com.

6) Beklenmedik destek mesajlarına şüpheyle yaklaşın

Saldırganlar, kullanıcıların API limitleri, faturalandırma hataları veya hesap doğrulama sorunları duyduklarında paniğe kapıldığını bilir. Bir yapay zeka sağlayıcısından geldiğini iddia eden bir e-posta alırsanız bağlantıya tıklamayın. Uyarının gerçek olup olmadığını doğrulamak için siteyi manuel olarak açın veya resmi uygulamayı kullanın.

Bir akıllı telefon, ChatGPT'nin bir internet tarayıcısında açık olduğunu gösteriyor.

Bunun gibi olaylar, kişisel güvenlik alışkanlıklarınızı güçlendirmenin neden her zamankinden daha önemli olduğunu gösteriyor. (Kurt “CyberGuy” Knutsson)

7) Cihazlarınızı ve yazılımınızı güncel tutun

Cihazların güncel olmayan işletim sistemlerini veya tarayıcıları çalıştırması nedeniyle birçok saldırı başarılı oluyor. Düzenli güncellemeler, oturum belirteçlerini çalmak, tuş vuruşlarını yakalamak veya oturum açma akışlarını ele geçirmek için kullanılabilecek güvenlik açıklarını kapatır. Güncellemeler sıkıcıdır ancak şaşırtıcı miktarda sorunu önler.

8) Artık ihtiyacınız olmayan hesapları silin

Eski hesaplar eski şifreler ve eski verilerle ortalıkta dolaşıyor ve kolay hedefler haline geliyorlar. Belirli bir AI aracını artık aktif olarak kullanmıyorsanız, onu hesap listenizden silin ve kayıtlı tüm bilgileri kaldırın. Maruziyetinizi azaltır ve ayrıntılarınızı içeren veritabanı sayısını sınırlar.

Kurt'un önemli çıkarımı

Bu ihlal, sohbet kayıtlarına veya ödeme ayrıntılarına dokunmamış olabilir ancak daha geniş yapay zeka ekosisteminin ne kadar kırılgan olabileceğini gösteriyor. Verileriniz yalnızca zincirdeki en az güvenli ortak kadar güvendedir. ChatGPT artık haftalık bir milyar kullanıcıya yaklaşırken, bu zincirin daha sıkı kurallara, daha iyi gözetime ve daha az kör noktaya ihtiyacı var. Aksine, bu, yapay zekanın benimsenmesine yönelik acelenin daha güçlü politika korkuluklarına ihtiyaç duyduğunun bir hatırlatıcısı olmalıdır. Şirketler olay bittikten sonra şeffaf e-postaların arkasına saklanamaz. Her gün güvendiğiniz araçların, hiç görmedikleriniz de dahil olmak üzere her katmanda güvenli olduğunu kanıtlamaları gerekiyor.

Kişisel bilgilerinizi konusunda yapay zeka platformlarına güveniyor musunuz? Bize yazarak bize bildirin. Cyberguy.com.

FOX HABER UYGULAMASINI İNDİRMEK İÇİN TIKLAYIN

Kurt “CyberGuy” Knutsson, sabahları “FOX & Friends” programında Haberler ve FOX Business'a yaptığı katkılarla hayatı daha iyi hale getiren teknolojiye, donanıma ve cihazlara derin bir sevgi besleyen ödüllü bir teknoloji gazetecisidir. Teknik bir sorunuz mu var? Kurt'un ücretsiz CyberGuy Bültenini edinin, sesinizi, hikaye fikrinizi veya yorumunuzu CyberGuy.com'da paylaşın.