OpenAI, iş ortağı Mixpanel’de yaşanan güvenlik ihlalinin ardından bazı ChatGPT API kullanıcılarına ait bilgilerin dışarı sızdığını açıkladı. Şirket olayın kendi sistemlerinden kaynaklanmadığını ve kritik kullanıcı verilerinin güvende olduğunu belirtti. Analitik amaçlı tutulan sınırlı veri setinde yer alan bilgilerin saldırganlar tarafından dışa aktarıldığı ifade edildi.
Sızıntı Mixpanel üzerinden gerçekleşti!
Web analitiği hizmeti veren Mixpanel, 9 Kasım 2025’te sistemlerine yetkisiz erişim sağlandığını tespit etti. İncelemelerde saldırganın müşteri tanımlayıcı bilgilerinin yer aldığı bir veri setini dışa aktardığı belirlendi. Bu veri seti 25 Kasım’da OpenAI ile paylaşıldı ve platform.openai.com üzerinden API kullanan bazı hesapların etkilendiği ortaya çıktı.
OpenAI, olayın kendi altyapısında gerçekleşen bir veri ihlali olmadığını net şekilde ifade etti. Sohbet içerikleri, API istekleri, kullanım verileri, şifreler, API anahtarları, ödeme bilgileri ve kimlik belgeleri gibi kritik verilerin hiçbirinin bu sızıntıda yer almadığı belirtildi.
Sızdırılan veri setinde kullanıcının hesap adı, API hesabına bağlı e-posta adresi, tarayıcı üzerinden alınan şehir ve ülke bilgisi, işletim sistemi ve tarayıcı bilgileri, yönlendiren web siteleri ile organizasyon veya kullanıcı ID’leri bulunuyor. Açıklamalara göre bu bilgiler analitik amaçlı Mixpanel’e iletilen standart meta verilerden oluşuyor.
Olayın ardından OpenAI, Mixpanel’in tüm sistem yetkilerini kaldırdı ve etkilenen kullanıcıları bilgilendirme sürecine başladı. Şirket Mixpanel ile olan iş birliğini tamamen sonlandırdığını açıkladı. Ayrıca tüm tedarikçi ekosistemi için güvenlik denetimlerinin sıkılaştırıldığını belirtti. Bu adımların gelecekte benzer bir durumun yaşanmaması için uygulandığı ifade edildi.
