OpenAI, üçüncü taraf web analitiği sağlayıcısı Mixpanel’de meydana gelen bir güvenlik olayı nedeniyle bazı API kullanıcılarına ait “sınırlı meta verilerin” yetkisiz kişiler tarafından ele geçirildiğini açıkladı. Şirket, bunun OpenAI sistemlerine yönelik bir saldırı olmadığının altını çizdi.
SIZINTI ÖZEL VERİLERİ İÇERMİYOR
OpenAI, olayın ChatGPT kullanıcılarını etkilemediğini ve chat içerikleri, API istekleri, API kullanım verileri, şifreler, API anahtarları, ödeme bilgileri veya kimlik belgelerinin kesinlikle açığa çıkmadığını vurguladı.
İhlal yalnızca Mixpanel’in kendi sistemlerinde gerçekleşti.
HANGİ BİLGİLER SIZMIŞ OLABİLİR?
Sızdırılan veriler yalnızca platform.openai.com üzerinden API kullanan bazı hesaplara ait sınırlı bilgilerden oluşuyor:
*API hesabına kayıtlı ad
*API hesabına bağlı e-posta adresi
*Tarayıcı konumuna dayalı yaklaşık şehir/eyalet/ülke bilgisi
*İşletim sistemi ve tarayıcı bilgisi
*Yönlendiren web siteleri
*API hesabına ait organizasyon veya kullanıcı ID’leri
OpenAI, bu bilgilerin kimlik hırsızlığı amacıyla değil fakat phishing (oltalama) girişimleri için kullanılabileceğine dikkat çekti.
OLAY NASIL GERÇEKLEŞTİ?
Açıklamaya göre Mixpanel, 9 Kasım 2025’te, sistemlerine yetkisiz erişim sağlandığını tespit etti. Bir saldırganın Mixpanel’in altyapısındaki bazı verilere ulaşıp dışa aktardığı açıklandı.
OpenAI’ye 25 Kasım 2025’te gönderilen etkilenen veri seti üzerinde inceleme başlatıldı.
OPENAI’ın TEPKİSİ: MIXPANEL İLE ÇALIŞMA SONLANDIRILDI
OpenAI, olayın ardından Mixpanel’i tüm üretim servislerinden kaldırdı ve iş birliğini tamamen sonlandırdı.
Ayrıca diğer tüm üçüncü taraf sağlayıcılar için ek güvenlik incelemeleri başlatıldığını açıkladı.
Şirket, etkilenen tüm kullanıcılar ve kurumlarla doğrudan iletişime geçildiğini, bağımsız incelemelerin sürdüğünü belirtti.
KULLANICILARA UYARI: OLTALAMAYA DİKKAT
OpenAI, kullanıcıları aşağıdaki konularda dikkatli olmaları konusunda uyardı:
*Beklenmeyen e-posta ve mesajlara dikkat edilmesi
*OpenAI’den geldiği iddia edilen mesajların resmi domainlerden gelip gelmediğinin kontrol edilmesi
*Şifre, API anahtarı veya doğrulama kodu isteyen e-postalara asla itibar edilmemesi
*Hesapların ek güvenlik için MFA (çok faktörlü doğrulama) ile korunması