OpenAI'ın API Kullanıcı Verileri Üçüncü Taraf İhlaliyle Sızdırıldı

OpenAI'a göre, olay üçüncü taraf analitik sağlayıcısı Mixpanel'in sistemlerinde meydana geldi ve yalnızca API kullanıcılarının sınırlı analitik verilerini içeriyordu. ChatGPT ve diğer ürünlerin kullanıcıları iddiaya göre olaydan etkilenmedi.

OpenAI yaptığı açıklamada "Söz konusu durum OpenAI'ın sistemlerinde gerçekleşen bir ihlal değildi. Sohbet, API istekleri, API kullanım verileri, şifreler, kimlik bilgileri, API anahtarları, ödeme detayları veya devlet kimlikleri tehlikeye atılmadı veya ifşa edilmedi." dedi.

OpenAI Artık Mixpanel'i Kullanmıyor

Mixpanel'in 9 Kasım'da bir saldırgandan haberdar olduğu bildirildi. Tehdit aktörü, sistemlerinin bir bölümüne yetkisiz erişim kazandı ve sınırlı müşteri tanımlanabilir bilgilerini içeren bir veri kümesini dışa aktardı. Analitik sağlayıcı Mixpanel, soruşturma başlattıklarını OpenAI'a bildirdi ve 25 Kasım'da etkilenen veri kümesini yapay zeka şirketiyle paylaştı.

platform.openai.com kullanımına bağlı kullanıcı profil bilgileri, Mixpanel'den dışa aktarılan verilere dahil edilmiş olabilir. Etkilenmiş olabilecek bilgiler şunlarla sınırlıydı:

• API hesabına sağlanan Ad Soyad
• API hesabıyla ilişkili E-posta adresi
• API kullanıcısının tarayıcısına göre yaklaşık kaba konum (şehir, eyalet, ülke)
• API hesabına erişim için kullanılan işletim sistemi ve tarayıcı
• Yönlendiren web siteleri
• API hesabıyla ilişkili Kuruluş veya Kullanıcı Kimlikleri

Olayı inceledikten sonra OpenAI, Mixpanel kullanımına son verdi ve ihlalin OpenAI sistemlerindeki herhangi bir güvenlik açığından kaynaklanmadığını bir kez daha vurguladı.

Şirket, durumu pekiştirmek için "Ürünlerimizin güvenliği ve gizliliği bizim için en önemlidir; bilgilerinizi koruma konusunda kararlılığımızı sürdürüyoruz ve sorunlar ortaya çıktığında şeffaf bir şekilde iletişim kuruyoruz." ifadelerini kullandı.

"En İyi Uygulamalara Tamamen Aykırı"

Şeytan ayrıntılarda gizli. Öncelikle, rapor muhtemelen Mixpanel kullanan diğer şirketlerin de etkilendiği anlamına geliyor.

Cybernews araştırma ekibine göre, tanımlanabilir kişisel verileri anonimleştirmeden göndermek OpenAI'ın tercihiydi.

Daha da önemlisi, bir Reddit kullanıcısının belirttiği gibi, OpenAI çok daha iyisini yapabilirdi. Kullanıcı şunları yazdı: "Yapılan şey çok aptalca. Raporlama sistemlerine kişisel olarak tanımlanabilir bilgileri göndermelerine gerek yoktu. Bahsi geçen eylem, en iyi uygulamalara tamamen aykırıdır ve kaçınması çok kolaydır."

Aynı kullanıcı şunları ekledi: "Hatta kimlikler bile normal hizmet için kullanılan gerçek kullanıcı kimlikleri olmamalıdır. Yalnızca raporlama için bir kimlik olmalıdır."

Mixpanel aslında kullanıcı hakkında herhangi bir tanımlayıcı bilgi talep etmiyor. Şirketin kendisi, "Benzersiz bir kullanıcı kimliğinin (dahili kullanıcı kimliğiniz gibi) bir hash'ini oluşturabilir ve o hash'i kullanıcının kimliği olarak kullanabilirsiniz." diyor.

‍

‍

Kaynak: https://cybernews.com/security/openai-mixpanel-cybersecurity-incident-breach/