OpenAI, Mixpanel’deki bir güvenlik olayının bazı API kullanıcılarına bağlı sınırlı analiz verilerini ortaya çıkardığını doğruladı. Şirket, iç sistemlerinin hiçbirinin tehlikede olmadığını ve sohbet içeriği, API anahtarları, şifreler, ödeme bilgileri ve devlet kimlik belgeleri gibi hassas bilgilerin güvenli kaldığını belirtti. OpenAI, şirketin ihlali açıkladığı anda Mixpanel’i analitik için kullanmayı bıraktığını söyledi.
Mixpanel, bir saldırganın 9 Kasım’da altyapısının bir kısmına yetkisiz erişim sağladığını bildirdi. Saldırgan, OpenAI API hesaplarının bir alt kümesinden meta veri içeren bir veri setini dışa aktardı. Mixpanel, veri setini 25 Kasım’da OpenAI’ye sağladı, böylece şirket maruziyeti değerlendirebildi. OpenAI, bilgileri aldıktan kısa bir süre sonra etkilenen kullanıcıları bilgilendirmeye başladı.
Veri seti kişisel ve cihazla ilgili bilgileri içeriyordu. OpenAI’ye göre, bu sistem OpenAI API hesaplarına bağlı hesap adlarını, e-posta adreslerini, şehir, eyalet ve ülke gibi yaklaşık coğrafi verileri, tarayıcı ve işletim sistemi bilgilerini, referans sitelerini ve kullanıcı veya kuruluş tanımlayıcılarını içeriyordu. Ortaya çıkan bilgiler arasında sohbetler, kimlik doğrulama bilgileri, ödeme kayıtları, model çıktıları veya OpenAI ürünleriyle genellikle ilişkilendirilen diğer hassas içerikler yer almıyordu.
OpenAI, ihlalın koşullarını incelemek için Mixpanel ve düzenleyicilerle iş birliği yaptığını belirtti. Ayrıca, açığa çıkan meta verilerin API hesaplarına veya herhangi bir OpenAI servisine erişmek için yeterli olmadığını vurguladı. Ancak güvenlik araştırmacıları, metadata’nın tehdit aktörlerinin oltalama girişimleri veya taklit kampanyaları düzenlemelerine hâlâ yardımcı olabileceği konusunda uyarıda bulunuyor. İsimler, e-posta adresleri ve cihaz bilgilerinin birleşimi, saldırganların etkilenen kullanıcıları hedef alan ikna edici mesajlar oluşturmasına olanak tanıyabilir.
Güvenlik analistleri, bu olayın üçüncü taraf analiz araçlarıyla ilgili riskleri ortaya koyduğunu belirtiyor. Sağlayıcılar hassas içeriği işlemese bile, depoladıkları meta veriler kullanıcıları profillemek için kullanılabilir. Bu, saldırganlar bilgiyi kamuya açık verilerle veya daha önce sızdırılmış materyallerle birleştirirse bireyleri veya kuruluşları hedefli saldırılara maruz bırakabilir. Dış araçları entegre eden şirketlerin, tedarikçi güvenlik uygulamalarını yakından değerlendirmesi ve analitik sağlayıcılarla paylaşılan tanımlanabilir bilgi miktarını sınırlaması gerektiğini savunuyorlar.
OpenAI, ek koruma veya kısıtlamaların gerekip gerekmediğini değerlendirmek için tedarikçi ilişkilerini incelemeye başladı. Şirket, kullanıcı ile ilgili verileri işleyen ortaklar için daha sıkı standartlar uygulamaya devam edeceğini açıkladı. OpenAI, API kullanıcılarını kimlik bilgileri talep eden beklenmedik mesajlara karşı dikkatli olmaları için uyardı. Şirket, istenmeyen iletişim yoluyla asla şifre veya API anahtarı istemeyeceğini yineledi. Ayrıca, yetkisiz erişim riskini azaltmak için çok faktörlü kimlik doğrulamanın etkinleştirilmesini önerdi.
İhlal OpenAI sistemlerine doğrudan erişim içermese de, bu açıklama şirketlerin üçüncü taraf araçları nasıl yönettiğine dair yeniden tartışmalara yol açtı. Siber güvenlik uzmanları, bu olayın sadece satıcıların depoladığı içeriği değil, aynı zamanda ilgili meta verilerin değerini de anlamanın önemini gösterdiğini savunuyor. Meta verilerin, temel içerik korunsa bile saldırganlar için faydalı olabilecek kullanıcı davranışı, coğrafi eğilimler ve sistem yapılandırmaları hakkında kalıplar ortaya çıkarabileceğini belirtiyorlar.
OpenAI, ihlali araştırmaya devam ederken, yeni bilgiler ortaya çıkarsa müşterileri güncelleyeceğini söyledi. Mixpanel, kendi sistemlerini güçlendirmek için çalıştığını ve daha geniş soruşturmaya iş birliği yaptığını belirtti. Olayın uzun vadeli etkisi, saldırganların açığa çıkan metaveriyi oltalama veya diğer hedefli kampanyalarda kullanıp çalışmayacağına bağlı olacak. Şimdilik, araştırmacılar kullanıcılara şüpheli mesajları izlemelerini ve ek koruma katmanları sağlayan kimlik doğrulama araçlarından faydalanmalarını tavsiye ediyor.