OpenAI, web analitiği sağlayıcısı Mixpanel'den bir veri hırsızlığı olduğunu bildirdi. Şirketin yapay zeka hizmetlerinin ve API'lerinin kullanımını inceledi. Toplanan verilerin bir kısmı artık yanlış ellere düşmüş olabilir.
Duyurudan sonra devamını okuyun
OpenAI'nin web sitesindeki bir mesaj siber olaydan bahsediyor. Sonuç olarak, Mixpanel sistemlerinde “OpenAI API'nin (platform.openai.com) bazı kullanıcıları için web analitiğine yönelik sınırlı analitik verilerinin” kaybolduğu bir ihlal meydana geldi. OpenAI, “ChatGPT ve diğer ürünlerin kullanıcıları etkilenmez” diye açıklıyor. Ancak şirketin söylemediği şey, OpenAI yapay zekasını Windows Powertoys'daki “Gelişmiş Ekleme” gibi diğer yazılımlarda kullanmak için bir API anahtarının gerekli olduğudur. Etkilenen kullanıcı grubu bu nedenle nispeten (ve belki de beklenmedik şekilde) büyüktür; API anahtarları çok sayıda kullanıcı tarafından oluşturuldu.
AI şirketi, hiçbir OpenAI sisteminin saldırıya uğramadığını vurguluyor. OpenAI, “Hiçbir sohbet, API isteği, API kullanım verileri, şifreler, kimlik bilgileri, API anahtarları, ödeme ayrıntıları veya devlet kimlikleri ele geçirilmedi veya ifşa edilmedi” diyor.
Mixpanel'e girme
9 Kasım 2025'te Mixpanel, saldırganların sistemlerinin bazı bölümlerine yetkisiz erişim sağladığını fark etti. Saldırganlar sınırlı müşteri verilerini ve analiz bilgilerini sızdırdı. Mixpanel, olayı ve soruşturmayı OpenAI'ye bildirdi ve ayrıca etkilenen veri kümesini 25 Kasım 2025 Salı günü şirkete sundu.
Sonuç olarak, API kullanıcılarının kullanıcı profillerindeki bilgiler yetkisiz veri aktarımına yol açmış olabilir. Ayrıca kullanıcı adları, e-posta adresi, yaklaşık coğrafi konum (şehir, eyalet, ülke), API'yi kullanmak için kullanılan işletim sistemi ve tarayıcı, web sitesi yönlendirenleri ve son olarak API hesabıyla ilişkili kullanıcı veya kuruluş kimlikleri etkilenebilir.
Siber olaya yanıt olarak OpenAI, Mixpanel'i üretim sistemlerinden kaldırdı ve etkilenen veri kümelerini inceledi. Hırsızlığın gerçek boyutunu doğrulamak için Mixpanel ile birlikte soruşturmalar halen devam ediyor. OpenAI, etkilenen kullanıcılar, yöneticiler ve kuruluşlarla doğrudan iletişime geçmek istiyor. Mixpanel ortamı dışındaki veri veya sistemlerin etkilendiğine dair bir kanıt olmasa da OpenAI, her türlü kötüye kullanım belirtisini yakından izlemek istiyor. Şirket ayrıca satıcı ekosistemi genelinde daha fazla ve genişletilmiş güvenlik araştırması yürütüyor ve tüm iş ortakları ve satıcılar için güvenlik gereksinimlerini artırıyor ancak bunun tam olarak ne anlama geldiğini belirtmiyor.
Ağ geçidi olarak SMS
Duyurudan sonra devamını okuyun
Mixpanel'in kendisi de bir blog yazısında şirketin 8 Kasım 2025'te bir “smishing” kampanyası keşfettiğini açıklıyor. Örneğin çalışanlar, giriş verilerini sağlama talebi içeren SMS mesajları alıyor. Bu durum anında olay müdahale sürecini tetikledi: Mixpanel yetkisiz erişimi sınırladı ve sonuçta durdurdu ve etkilenen kullanıcı hesaplarının güvenliğini sağladı. Şirket ayrıca siber olaya müdahale etmek için harici siber güvenlik ortaklarıyla da iletişime geçti.
Mixpanel, etkilenen müşterilerin olay hakkında bilgilendirilmesini istiyor. Mixpanel'i doğrudan duymamış olan hiç kimse ilgilenmiyor. Müşteri listesinde OpenAI'nin yanı sıra Joyn, LG, Pinterest, Workday ve Yelp gibi diğer tanınmış şirketler de yer alıyor. Diğer şirketler yakında bununla ilgili bir siber olayı bildirebilir.
(Bilmiyorum)
Bir yanıt yazın