ChatGPT’nin geliştiricisi olan OpenAI’ın analitik hizmet sağlayıcısı Mixpanel Kasım ayında, hedefli bir SMS oltalama (phishing) saldırısının hedefi oldu ve bu saldırı yaklaşık 8.000 kurumsal müşteriye ait verilerin sızmasına yol açtı. Mixpanel, pek çok teknoloji şirketinde olduğu gibi kullanıcı davranışlarını, trafik akışını ve platform etkileşimlerini ölçmek için kullanılan üçüncü taraf bir veri analitiği platformudur. OpenAI ise API ekosistemindeki (yazılımların birbiriyle iletişim kurmasını sağlayan arayüz) kullanıcı etkileşimlerini izlemek amacıyla Mixpanel’den yararlanıyordu.
Dolayısıyla ihlalin etkisi, doğrudan ChatGPT son kullanıcılarında değil; OpenAI’ın API ekosistemindeki geliştiriciler ve kurumsal müşterileri üzerinde yoğunlaşıyor. OpenAI’ın 27 Kasım tarihli açıklamasına göre, sızmış olabilecek veri kategorileri özetle şöyle:
- API hesaplarında yer alan isim bilgileri,
- Hesaplarla ilişkilendirilmiş e-posta adresleri,
- IP adresi üzerinden tahmin edilen konum (şehir/ülke),
- Cihaz ve tarayıcı bilgileri,
- Yönlendiren web sitesi bilgileri,
- Organize hesap/kullanıcı kimlikleri.
Buna karşılık, OpenAI’ın açıklamasına göre, sohbet içerikleri, API anahtarları, kimlik doğrulama bilgileri, finansal veriler veya ChatGPT kullanıcı verileri bu kapsamda etkilenmiş değil. OpenAI olayın hemen ardından Mixpanel ile tüm ilişkisini sonlandırdı, tedarikçi güvenlik gerekliliklerini yeniden tanımladı ve üçüncü taraf ekosistemi için genişletilmiş bir güvenlik incelemesi başlattı.
Bu olay, kırılganlığın sadece veriyi doğrudan işleyen şirketlerde değil; tedarik zincirinin görünmeyen halkalarında ortaya çıkabildiğini bir kez daha hatırlatıyor. Bu nedenle tedarik zincirinin gözetimi, sözleşmesel yükümlülükler ve veri minimizasyonu, en az teknik tedbirler kadar kritik bir rol oynuyor.
