OpenAI’nin açıklamasına göre olay, şirketin API platformunun (platform.openai.com) ön ucunda web analitiği için kullandığı Mixpanel sistemlerinde meydana geldi.
Bu nedenle OpenAI sunucularına saldırı veya OpenAI altyapısına sızma söz konusu değildir. Sorun tamamen Mixpanel tarafındaki bir güvenlik açığından kaynaklanıyor.
OpenAI, ChatGPT’nin ve ürünün diğer kullanıcılarının bu olaydan etkilenmediğini vurguluyor.
HANGİ VERİLER ETKİLENEBİLİR?
Olay, API platformunu kullanan bazı kullanıcıların profil ve tarayıcı tabanlı analiz verileriyle sınırlı. Açıklamaya göre sızdırılmış olabilecek bilgiler şöyle:
- API hesabındaki ad/isim bilgilerini görüntüleyin
- API hesabıyla ilişkili e-posta adresi
- Tarayıcı tarafından tahmin edilen yaklaşık konum (şehir, eyalet/bölge, ülke)
- API hesabınıza erişirken kullanılan işletim sistemi ve tarayıcı hakkında bilgiler
- Referans web siteleri
- Hesapla ilişkili kullanıcı veya kuruluş kimliği
OpenAI, sohbet içeriği, API istekleri, API kullanım kayıtları, şifreler, API anahtarları, ödeme bilgileri veya kimlik belgeleri gibi kritik verilerin ifşa edilmediğini veya tehlikeye atılmadığını söylüyor.
MIXPANEL KULLANIMI SONLANDIRILDI
OpenAI, güvenlik incelemesinin bir parçası olarak ilk olarak Mixpanel’i tüm üretim hizmetlerinden kaldırdı. Şirket, daha sonra Mixpanel’den alınan etkilenen veri kümelerini güvenlik ekipleriyle dikkatle incelediğini ve olayın kapsamını anlamak için Mixpanel ve diğer ortaklarla yakın işbirliği içinde çalıştığını söyledi.
Şirket, olaydan etkilenen kurumları, yöneticileri ve bireysel kullanıcıları tek tek e-posta yoluyla bilgilendirme sürecini başlattığını duyurdu.
OpenAI ayrıca resmi olarak Mixpanel’i kullanmayı bırakma kararı aldığını da duyurdu.
KULLANICILARIN DİKKATİNE
İsimler, e-posta adresleri ve OpenAI API kullanıcı/kuruluş kimlikleri gibi sızdırılan veriler doğrudan hesabın ele geçirilmesi anlamına gelmese de kimlik avı veya sosyal mühendislik saldırıları için kullanılabilir. OpenAI daha sonra şu uyarıda bulundu:
Beklenmedik e-postalara ve mesajlara, özellikle de bağlantı veya ek içerenlere karşı dikkatli olun.
“OpenAI’den geliyormuş gibi görünen” mesajların mutlaka resmi OpenAI alanlarından gelmediğini kontrol edin.
OpenAI e-posta, SMS veya sohbet yoluyla şifre, API anahtarı veya doğrulama kodu istemez. Bu tür talepler dolandırıcılık belirtisi olabilir.
Hesaplarınızı daha da korumak için çok faktörlü kimlik doğrulamayı (MFA) etkinleştirin.
OpenAI, şu anda olayın Mixpanel ortamının ötesine geçtiğine dair bir kanıt bulunmadığını ancak olası suiistimal belirtilerine karşı sistemlerini yakından izlemeye devam ettiğini söylüyor.