Mixpanel veri ihlali: OpenAI dahil binlerce kullanıcının verisi tehlikede

World EDU Türkçe Editör
Mixpanel veri ihlali görseli

Analitik hizmet sağlayıcısı Mixpanel‘de yaşanan siber güvenlik olayı, özellikle veri ihlallerinin nasıl duyurulması gerektiği konusunda tartışma yarattı. ABD’deki Şükran Günü tatili öncesinde, ayrıntılardan büyük ölçüde yoksun, kısa bir açıklamayla duyurulan olay, hem şeffaflık hem de kullanıcı güvenliği açısından ciddi soru işaretleri doğurdu.

Mixpanel veri ihlalinde neler biliniyor?

Mixpanel CEO’su Jen Taylor, 8 Kasım tarihinde tespit edilen bir siber güvenlik olayını özetleyen kısa bir blog yazısıyla duyurdu. Açıklamaya göre şirket, bazı müşterilerini etkileyen bir güvenlik ihlali fark etti ve yetkisiz erişimi ortadan kaldırmak için çeşitli önlemler aldığını belirtti.

Ancak kamuoyuna açıklanan bilgiler son derece sınırlı kaldı. İhlalden kaç müşterinin etkilendiği, bu müşterilerin verilerinin tam olarak nasıl zarar gördüğü ve saldırının kapsamı gibi kritik sorular yanıtsız bırakıldı. Şirket yönetimi, saldırganlardan bir fidye talebi alınıp alınmadığı ya da çalışan hesaplarının çok faktörlü kimlik doğrulama ile korunup korunmadığı dahil pek çok soruya açıklık getirmedi.

OpenAI nasıl etkilendi?

Mixpanel’in aksine, olaydan etkilenen müşterilerden biri olan OpenAI kendi blogunda daha ayrıntılı bir açıklama yaptı. OpenAI, Mixpanel sistemlerinden müşteri verilerinin çalındığını doğruladı ve böylece Mixpanel’in ilk duyurusunda açıkça belirtilmeyen önemli bir detayı netleştirmiş oldu.

OpenAI, Mixpanel yazılımını; özellikle web sitesinin bazı bölümlerinde – örneğin geliştirici dokümantasyonu gibi – kullanıcıların nasıl etkileşime girdiğini anlamak için kullanıyordu. Bu nedenle ihlalden etkilenenler, çoğunlukla OpenAI’nin sunduğu API’leri ve araçları kendi uygulamalarında kullanan geliştirici hesapları olarak görünüyor.

OpenAI’ye göre saldırganlar şu bilgileri ele geçirdi:

Şirket sözcüsü, sızdırılan veriler arasında Android reklam kimliği veya Apple IDFA gibi, kullanıcıların diğer uygulama ve sitelerdeki faaliyetleriyle kolayca eşleştirilebilecek reklam tanımlayıcılarının bulunmadığını vurguladı. Buna rağmen bu tür teknik bilgiler bile, kullanıcıları belirli bir cihaza veya hesaba bağlamak için çoğu zaman fazlasıyla yeterli olabiliyor.

OpenAI ayrıca, olayın ChatGPT son kullanıcılarını doğrudan etkilemediğini belirtti ve güvenlik ihlali sonrasında Mixpanel ile olan entegrasyonunu tamamen sonlandırdığını açıkladı.

Mixpanel kullanıcı davranışını nasıl izliyor?

Mixpanel, özellikle mobil uygulama ve web analitiği alanında sektörün en büyük oyuncularından biri. Şirket, kamuya açık verilerine göre yaklaşık 8.000 kurumsal müşteriye hizmet veriyor. Bu müşterilerin her birinin potansiyel olarak milyonlarca son kullanıcısı olduğu düşünüldüğünde, Mixpanel altyapısında tutulan veri havuzunun büyüklüğü tahmin edilebilir.

Her bir Mixpanel müşterisinin topladığı veri seti, kendi tercihlerine ve ayarlarına göre değişiyor. Dolayısıyla bu ihlalde sızdırılan verilerin türü ve kapsamı da müşteriden müşteriye farklılık gösterebilir. Ancak ortak nokta, bu platformların; kullanıcıların uygulama ve web siteleriyle kurduğu etkileşimi en ince ayrıntısına kadar izlemek üzere tasarlanmış olması.

Her tıklama, kaydırma ve oturum kayda geçiyor

Geliştiriciler, sitelerine veya uygulamalarına Mixpanel’in sağladığı küçük bir kod parçası (script / SDK) ekliyor. Sonrasında kullanıcı, uygulamayı ya da web sayfasını her açtığında, bir yere tıkladığında, sayfayı kaydırdığında, hatta kimi durumlarda kullanıcı adı ve şifreyle giriş yaptığında bile bu hareketler birer “olay” (event) olarak kayıt altına alınıyor.

Bu olaylar; kullanıcının cihazı ve bağlantısına ilişkin çeşitli bilgilerle birlikte Mixpanel sunucularına gönderiliyor. Örneğin:

Bağımsız güvenlik uzmanları, Burp Suite gibi açık kaynak analiz araçları kullanarak Imgur, Lingvano, Neon ve Park Mobile gibi çeşitli uygulamaların trafiklerini incelediklerinde; bu uygulamalardan Mixpanel’e çok farklı türde kullanıcı ve cihaz verisi aktarıldığını gözlemledi. Bu da Mixpanel’in, entegrasyon sağlanan her uygulamanın içinde adeta arka planda sessizce çalışan bir gözlemci gibi davrandığını gösteriyor.

Daha önce de Mixpanel’in veri toplama süreçleri tartışma yaratmıştı. Şirket, 2018 yılında yaptığı bir açıklamada, analitik kodunun bazı durumlarda kullanıcı şifrelerini istemeden topladığını kabul etmişti. Bu olay, analitik kodlarının yanlış yapılandırılması ya da öngörülemeyen senaryolarda ne kadar hassas veriyi yakalayabileceğini somut biçimde ortaya koymuştu.

Pseudonimleştirme, gerçekten anonimlik sağlamıyor

Analitik şirketleri, topladıkları verilerin sözde “pseudonimleştirildiğini” – yani gerçek isim yerine rastgele gibi görünen bir kimlik numarasına bağlandığını – söyleyerek kullanıcı mahremiyetini koruduklarını iddia ediyor. Kağıt üzerinde bu yaklaşım, direkt olarak isim, soyisim gibi sıradan tanımlayıcıların depolanmasını engelliyor.

Ancak pratikte, bu verilerdeki kimliklerin yeniden çözülebileceği ve gerçek kişilere geri bağlanabileceği defalarca gösterildi. Cihaz türü, tarayıcı sürümü, ekran boyutu, dil ayarları gibi teknik detayların birleşimi; bir kullanıcıyı neredeyse parmak izi (fingerprinting) kadar benzersiz hale getirebiliyor. Böylece farklı uygulamalar ve web siteleri arasındaki aktiviteler de bir araya getirilerek kapsamlı kullanıcı profilleri oluşturulabiliyor.

Bu profiller, şirketlerin kullanıcı davranışlarını anlamasını ve ürünlerini geliştirmesini sağlayabileceği gibi, kötü niyetli kişilerin eline geçtiğinde hedefli saldırılar, kimlik avı kampanyaları ve daha fazlası için son derece değerli bir kaynağa dönüşebiliyor.

Oturum tekrarları: Ekranınızı yeniden oynatmak

Mixpanel, müşterilerine yalnızca tıklama ve olay verisi sunmakla kalmıyor. Şirket aynı zamanda, “session replay” (oturum tekrarı) adı verilen bir özellikle, kullanıcıların uygulama veya site üzerinde yaptığı hareketleri adım adım görsel olarak yeniden oynatmaya imkân tanıyor.

Bu teknoloji, geliştiricilerin hataları yakalaması ve kullanıcı deneyimini iyileştirmesi açısından son derece faydalı. Teorik olarak, oturum tekrarlarında parola, kredi kartı numarası gibi hassas alanların otomatik olarak maskelenmesi gerekiyor. Ancak bu sistemler kusursuz değil: Mixpanel, kimi durumlarda maskelenmesi gereken hassas bilgilerin yanlışlıkla kaydedilebildiğini kendi dokümanlarında kabul ediyor.

Benzer şekilde, büyük teknoloji şirketleri geçmişte ekran kaydı kullanan bazı uygulamalara karşı daha sıkı kurallar getirmişti. Bu da, oturum tekrarlarının doğru şekilde yapılandırılmadığında ciddi bir gizlilik riski haline gelebileceğini gösteriyor.

Analitik devleri neden siber saldırganların hedefinde?

Bugün Mixpanel gibi analitik şirketleri, milyarlarca tıklama, kaydırma ve oturum verisini bir araya getirerek kullanıcı davranışına dair devasa veri gölleri oluşturuyor. Bu şirketler, müşterilerine sundukları içgörülerle önemli gelirler elde ederken, aynı zamanda siber suçlular için son derece cazip bir hedefe dönüşüyor.

Mixpanel vakasında hâlâ birçok soru yanıt bekliyor: Kaç şirket ve kaç son kullanıcı etkilendi? Hangi tür veriler tam olarak sızdırıldı? İhlalin süresi ve saldırganların sistemlerde ne kadar kaldığı biliniyor mu? Şirketin kamuoyuna yaptığı kısa açıklama, bu soruların hiçbirine net yanıt vermiyor. Bu da, ya Mixpanel’in henüz saldırının kapsamını tam olarak çözemediğine ya da kamuya açıklamak istemediği ek detaylar bulunduğuna işaret ediyor.

Kesin olan tek şey, analitik altyapı sağlayıcılarının sakladığı veri miktarının ve hassasiyetinin her geçen gün arttığı. Bu tür şirketler; tek bir ihlalle, yüzlerce müşterinin ve potansiyel olarak milyonlarca son kullanıcının dijital izlerini açığa çıkarabilecek merkezi bir noktada duruyor. Mixpanel olayı, bu şirketlerin güvenlik yatırımlarının ve şeffaflık politikalarının artık sadece ticari bir tercih değil, doğrudan bir kamu güvenliği meselesi haline geldiğini bir kez daha hatırlatıyor.

İlgili Makaleler
Exit mobile version