OpenAI, 9 Kasım’da Mixpanel sistemlerine izinsiz erişim sağlandığını ve sınırlı kullanıcı verilerinin dışa aktarıldığını duyurdu. İhlal, kullanıcı adları, e-posta adresleri ve tanımlayıcı öğeler içeren verilerin sızdırılmasıyla gerçekleşti.
OpenAI, bu durumu kullanıcılarına gönderdiği e-postada “Bu olay bizim sistemlerimizde bir güvenlik açığından kaynaklanmamaktadır. Sohbet içerikleri, API istekleri, kimlik bilgileri ve ödeme detayları ihlal edilmemiştir” ifadeleriyle açıkladı.
Olayın ardından OpenAI, Mixpanel ile olan iş birliğini sonlandırırken, dış ortaklara yönelik güvenlik önlemlerinin sıkılaştırılacağına dair taahhütte bulundu.
Şirket, kullanıcıları oltalama saldırıları ve sosyal mühendislik dolandırıcılıklarına karşı uyararak, çok faktörlü kimlik doğrulama (MFA) sistemlerinin aktif hale getirilmesini önerdi.
Sohbet geçmişleri sızdırılmadığı halde, bu durum, ChatGPT gibi sohbet botlarının kullanıcılarla ilgili kişisel verilere erişim konusunu yeniden gündeme getirdi.
OX Security uzmanı Moshe Siman Tov Bustan, OpenAI’nin Mixpanel ile veri paylaşımında izlediği uygulamaların Avrupa Veri Koruma Tüzüğü’nün (GDPR) veri minimizasyonu ilkesini ihlal edebileceğini belirtti. Bustan, “Müşteri verilerini üçüncü taraflara aktarırken daima aşırı koruma ve anonimleştirme ön planda olmalıdır” diyerek, dışa aktarılan tanımlayıcı verilerin potansiyel risk oluşturduğunu vurguladı.
