OpenAI, bazı ChatGPT API müşterilerini, üçüncü taraf analiz sağlayıcısı Mixpanel'deki bir ihlalin ardından sınırlı tanımlayıcı bilgilerin açığa çıktığı konusunda bilgilendiriyor.
Mixpanel, OpenAI'nin API ürününün ön uç arayüzündeki kullanıcı etkileşimlerini izlemek için kullandığı olay analitiği sunar.
AI şirketine göre siber olay, "API'nin bazı kullanıcılarıyla ilgili sınırlı analitik verilerini" etkiledi ve ChatGPT veya diğer ürünlerin kullanıcılarını etkilemedi.
OpenAI bir basın bülteninde, "Bu, OpenAI sistemlerinin ihlali değildi. Hiçbir sohbet, API isteği, API kullanım verileri, şifreler, kimlik bilgileri, API anahtarları, ödeme ayrıntıları veya resmi kimlikler tehlikeye atılmadı veya ifşa edilmedi" dedi.
Mixpanel, saldırının "sınırlı sayıda müşterimizi etkilediğini" ve şirketin 8 Kasım'da tespit ettiği bir smishing (SMS kimlik avı) kampanyasından kaynaklandığını bildirdi.
OpenAI, Mixpanel'in devam eden soruşturması hakkında bilgilendirildikten sonra 25 Kasım'da etkilenen veri setinin ayrıntılarını aldı.
AI şirketi, ifşa edilen bilgilerin şunları içerebileceğini belirtiyor:
Hiçbir hassas kimlik bilgisi açığa çıkmadığı için kullanıcıların şifrelerini sıfırlamasına veya API anahtarlarını yeniden oluşturmasına gerek yoktur.
Bazı kullanıcılar, kripto para birimi portföy izleyicisi ve vergi platformu CoinTracker'ın da etkilendiğini, cihaz meta verileri ve sınırlı işlem sayısı da dahil olmak üzere açığa çıkan verilerin etkilendiğini bildiriyor.
OpenAI, olayın tam kapsamını belirlemek için bir soruşturma başlattı. Önlem olarak Mixpanel'i üretim hizmetlerinden kaldırdı ve kuruluşları, yöneticileri ve bireysel kullanıcıları doğrudan bilgilendiriyor.
OpenAI, yalnızca API kullanıcılarının etkilendiğinin altını çizerken, tüm abonelerini bilgilendirdi.
Şirket, sızdırılan verilerin kimlik avı veya sosyal mühendislik saldırılarında kullanılabileceği konusunda uyarıyor ve kullanıcılara olayla ilgili güvenilir görünen kötü amaçlı mesajlara karşı dikkatli olmalarını tavsiye ediyor.
Bağlantı veya ek içeren mesajların resmi bir OpenAI alanından geldiğinden emin olmak için doğrulanması gerekir.
Şirket ayrıca kullanıcıları 2FA'yı etkinleştirmeye ve şifreler, API anahtarları veya doğrulama kodları dahil olmak üzere hassas bilgileri asla e-posta, metin veya sohbet yoluyla göndermemeye teşvik ediyor.
Mixpanel CEO'su Jen Taylor, etkilenen tüm müşterilerle doğrudan iletişime geçildiğini söyledi. "Bizden haber alamadıysanız etkilenmemişsiniz demektir" diye belirtti.
Saldırıya yanıt olarak Mixpanel, etkilenen hesapların güvenliğini sağladı, aktif oturumları ve oturum açma işlemlerini iptal etti, güvenliği ihlal edilen kimlik bilgilerini döndürdü, tehdit aktörünün IP adreslerini bloke etti ve tüm çalışanların şifrelerini sıfırladı. Şirket ayrıca gelecekte benzer olayların yaşanmaması için yeni kontroller de uygulamaya koydu.
Bozuk IAM yalnızca bir BT sorunu değildir; etkisi tüm işletmenize yayılır.
Bu pratik kılavuz, geleneksel IAM uygulamalarının neden modern taleplere ayak uydurmakta başarısız olduğunu, "iyi" IAM'nin neye benzediğine dair örnekleri ve ölçeklenebilir bir strateji oluşturmak için basit bir kontrol listesini kapsar.
Kaynak: Bleeping Computer