OpenAI'den veri ihlali açıklaması

İhlalin, Mixpanel’in sistemlerine izinsiz erişim sağlayan bir saldırganın sınırlı kullanıcı verilerini içeren bir veri setini dışa aktarmasıyla gerçekleştiği belirtildi. Elde edilen veriler arasında adlar, e-posta adresleri ve kullanıcı tanımlayıcıları yer alıyor. OpenAI, olayın 9 Kasım’da Mixpanel tarafından fark edildiğini bildirdi.

Euronews'in haberine göre; OpenAI, kullanıcılarına gönderdiği e-postada, “Bu olay bizim sistemlerimizde bir güvenlik açığından kaynaklanmamaktadır. Sohbet içerikleri, API istekleri, API kullanım verileri, şifreler, kimlik bilgileri, ödeme detayları ya da resmi kimlik belgeleri ihlal edilmemiştir” ifadelerine yer verdi.

Şirket, bu gelişmenin ardından Mixpanel ile olan iş birliğini sonlandırdı. Aynı zamanda olayın ardından dış ortaklara yönelik güvenlik gereksinimlerinin daha da sıkılaştırılacağını duyurdu.

OpenAI ayrıca, bu tür olayların kullanıcıları hedef alan oltalama saldırıları ve sosyal mühendislik dolandırıcılıklarına zemin hazırlayabileceği konusunda uyarıda bulundu. Kullanıcılara çok faktörlü kimlik doğrulama (MFA) sistemlerini aktif hale getirmeleri önerildi.

Her ne kadar sohbet geçmişlerinin sızdırılmadığı doğrulansa da, olay ChatGPT gibi sohbet botlarının kullanıcılarla ilgili ne kadar çok kişisel veriye erişimi olduğunu yeniden gündeme getirdi.

OX Security güvenlik araştırma ekibinden Moshe Siman Tov Bustan’a göre, OpenAI'nin Mixpanel ile veri paylaşımında takip ettiği uygulamalar, özellikle e-posta adresleri ve konum gibi ürün geliştirmeye doğrudan katkı sağlamayan bilgileri içermesi nedeniyle Avrupa Veri Koruma Tüzüğü’nün (GDPR) veri minimizasyonu ilkesini ihlal ediyor olabilir.

Bustan, “İster dev bir teknoloji şirketi olun, ister tek kişilik bir girişim; müşteri verilerini üçüncü taraflara aktarırken daima aşırı koruma ve anonimleştirme ön planda olmalıdır” diyerek, dışa aktarılan her tanımlayıcı verinin potansiyel bir risk noktası oluşturduğunu vurguladı.