Analytics sektörünün önde gelen isimlerinden Mixpanel, 8 Kasım'da tespit edilen bir güvenlik olayıyla sarsıldı. Şirketin CEO'su Jen Taylor, Şükran Günü öncesi yayınlanan kısa bir blog yazısında, bazı müşterilerin etkilendiğini duyurdu ancak detaylara girmedi. Ne tür verilerin çalındığı, kaç kişinin mağdur olduğu veya hackerlardan fidye talebi olup olmadığı gibi sorular cevapsız kaldı.
OpenAI'nin Açıklama Getirmesiyle Gerçekler Ortaya Çıktı
Mixpanel'in belirsiz duyurusunun ardından OpenAI, kendi blogunda durumu netleştirdi. Yapay zeka devi, Mixpanel'in web sitesi kullanıcı etkileşimlerini analiz etmek için kullandığı yazılımdan etkilendiğini belirtti. Sızan veriler arasında geliştiricilerin isimleri, e-posta adresleri, IP tabanlı yaklaşık konum bilgileri (şehir ve eyalet), işletim sistemi ve tarayıcı sürümleri gibi hassas detaylar yer alıyor. Neyse ki, Android reklam ID'si veya Apple IDFA gibi doğrudan tanımlayıcılar bulunmuyordu.
OpenAI, ChatGPT kullanıcılarının doğrudan etkilenmediğini vurgularken, Mixpanel kullanımını derhal sonlandırdı. Bu, veri ihlallerinde tedarikçi zinciri risklerini bir kez daha gözler önüne seriyor.
Mixpanel Nasıl Çalışıyor ve Neden Bu Kadar Riskli?
Mixpanel, 8.000 kurumsal müşteriye web ve mobil analitik hizmetleri sunan bir platform. Uygulamalara gömülen kod parçalarıyla kullanıcıların her tıklamasını, kaydırmasını ve oturumunu izliyor. Bu veriler, cihaz tipi, ekran boyutu, ağ taşıyıcısı ve zaman damgaları gibi bilgilerle zenginleştiriliyor. Şirketin 'session replay' özelliği ise kullanıcı etkileşimlerini video gibi yeniden oynatıyor, ancak bazen şifreler gibi hassas verileri bile yakalayabiliyor – 2018'de Mixpanel buna benzer bir hatayı kabul etmişti.
- Pseudonymize veriler bile 'fingerprinting' ile gerçek kimliklere bağlanabilir.
- Milyonlarca kullanıcıyı kapsayan veri havuzları hackerlar için cazibe merkezi.
- Apple gibi şirketler ekran kaydı pratiklerini kısıtladı, ancak sorun devam ediyor.
Karşıt görüşe göre, Mixpanel gibi firmalar verileri anonimleştirerek gizliliği koruduğunu savunuyor. Ancak uzmanlar, bu yöntemlerin tersine çevrilebilir olduğunu ve profilleme için kullanıldığını belirtiyor. Veri ihlali, regülasyonlara uymayan şirketler için GDPR veya CCPA gibi cezaları tetikleyebilir, kullanıcı güvenini zedeler ve sektörde tedarikçi denetimlerini artırabilir.
Şeffaflık Eksikliği Eleştiriliyor
CEO Jen Taylor, TechCrunch'ın 12'den fazla sorusuna yanıt vermedi. Multi-factor authentication gibi temel önlemlerin uygulanıp uygulanmadığı bile belirsiz. Bu yaklaşım, 'veri ihlali duyurularında nasıl yapılmaz' örneği olarak görülüyor. Öte yandan, şirketin hızlı 'erişimi engelleme' adımları olumlu karşılanıyor, fakat tam şeffaflık şart.
Veri analitiği endüstrisi, milyarlarca veri noktasıyla büyüyor ancak hacker hedefi haline geliyor. Kullanıcılar, gizlilik ayarlarını gözden geçirip VPN kullanmalı. Bu olay, tedarik zinciri güvenliklerini güçlendirme çağrısını yeniliyor.
Kaynak: Orijinal haber TechCrunch'ta yayınlandı. TechCrunch - Mixpanel Veri İhlali
