Son zamanlarda yaşanan bir Mixpanel güvenlik olayı hakkında bilinmesi gerekenler

19 Aralık 2025 açıklaması: Etkilenen kullanıcıların tanımını netleştirmek için blogu güncelliyoruz. Orijinal blogda "API kullanıcılarının" etkilendiği belirtilmişti. Şu şekilde güncellendi: "Ayrıca, yardım merkezi biletleri gönderen veya platform.openai.com⁠(yeni bir pencerede açılır) adresinde oturum açmış sınırlı sayıda ChatGPT kullanıcısı da etkilendi." Etkilenen tüm kullanıcılar, kullanıcılara yönelik orijinal bilgilendirme ile aynı anda tespit edilip bilgilendirildi. Bu açıklama dışında, ilgili bilgilerin türü de dahil olmak üzere, olayla ilgili anlayışımızda başka hiçbir değişiklik olmamıştır. 

Şeffaflık bizim için önemlidir. Bu nedenle OpenAI’ın, API ürünümüzün (platform.openai.com⁠(yeni bir pencerede açılır)) ön uç arayüzünde web analizi için kullandığı bir veri analizi sağlayıcısı olan Mixpanel’de yakın zamanda meydana gelen bir güvenlik olayı hakkında sizi bilgilendirmek istiyoruz. 

Olay, Mixpanel’in sistemlerinde meydana geldi ve API’nin bazı kullanıcılarıyla ilgili sınırlı analiz verilerini kapsıyordu. Bu durum, yardım merkezi biletleri gönderen veya platform.openai.com'da oturum açmış sınırlı sayıda ChatGPT kullanıcısını da etkiledi.

Bu, OpenAI sistemlerinin bir ihlali değildi. Hiçbir sohbet, API isteği, API kullanım verisi, parola, kimlik bilgisi, API anahtarı, ödeme bilgisi veya nüfus kimliği tehlikeye atılmadı ya da ifşa edilmedi.

Ne oldu?

9 Kasım 2025’te Mixpanel, sistemlerinin bir kısmına yetkisiz erişim sağlayan bir saldırganın farkına vardı ve sınırlı müşteri tanımlayıcı bilgileri ile analiz bilgilerini içeren bir veri setinin dışa aktarıldığını tespit etti. Mixpanel, OpenAI’a bir soruşturma yürüttüklerini bildirdi ve etkilenen veri setini 25 Kasım 2025 tarihinde bizimle paylaştı. 

Bu, etkilenen kullanıcılar için ne anlama geliyor?

platform.openai.com⁠(yeni bir pencerede açılır) kullanımına bağlı kullanıcı profil bilgileri, Mixpanel’den dışarı aktarılan veriler arasında olabilir. Etkilenmiş olabilecek bilgiler şunlarla sınırlıydı:

• Hesapta bize sağlanan isim 
• Hesapla ilişkili e-posta adresi
• Kullanıcı tarayıcısına dayalı yaklaşık kaba konum (şehir, eyalet, ülke)
• Hesaba erişim için kullanılan işletim sistemi ve tarayıcı
• Yönlendiren web siteleri
• Hesapla ilişkili kuruluş veya kullanıcı kimlikleri

Bizim yanıtımız  

Güvenlik soruşturmamızın bir parçası olarak Mixpanel’i üretim hizmetlerimizden kaldırdık, etkilenen veri setlerini inceledik ve olayı ve kapsamını tam olarak anlamak için Mixpanel ve diğer ortaklarla yakın bir şekilde çalışıyoruz. Etkilenen kuruluşları, yöneticileri ve kullanıcıları doğrudan bilgilendirme sürecindeyiz. Mixpanel ortamı dışında herhangi bir sistem veya veri üzerinde etkisi olduğuna dair bir kanıt bulamamış olsak da kötüye kullanım belirtilerini yakından izlemeye devam ediyoruz. 

Güven, güvenlik ve gizlilik, ürünlerimizin, kuruluşumuzun ve misyonumuzun temel taşlarıdır. Şeffaflık konusunda kararlıyız ve etkilenen tüm müşterilerimizi ve kullanıcılarımızı bilgilendiriyoruz. Ayrıca ortaklarımızı ve tedarikçilerimizi, hizmetlerinin güvenliği ve gizliliği konusunda en yüksek düzeyde sorumlu tutuyoruz. Bu olayı inceledikten sonra OpenAI, Mixpanel kullanımını sonlandırmıştır. 

Mixpanel’in ötesinde tedarikçi ekosistemimiz genelinde ek ve genişletilmiş güvenlik incelemeleri yapıyor ve tüm ortaklar ve tedarikçiler için güvenlik gereksinimlerini yükseltiyoruz.

Unutmamanız gerekenler  

Burada etkilenmiş olabilecek bilgiler, size veya kuruluşunuza karşı kimlik avı ya da sosyal mühendislik saldırılarının bir parçası olarak kullanılabilir. 

İsimler, e-posta adresleri ve OpenAI API üstverileri (örn. kullanıcı kimlikleri) söz konusu olduğu için güvenilir görünen kimlik avı girişimlerine veya spam’lere karşı dikkatli olmanızı öneririz. Hatırlatmak gerekirse:

• Özellikle de bağlantılar veya ekler içeriyorlarsa beklenmedik e-postalara veya mesajlara dikkat edin.
• OpenAI’den geldiğini iddia eden her mesajın resmî bir OpenAI alan adından gönderildiğini iki kez kontrol edin.
• OpenAI; e-posta, metin veya sohbet yoluyla parola, API anahtarı veya doğrulama kodu talep etmez.
• Hesabınızı daha fazla korumak için çok faktörlü kimlik doğrulama⁠(yeni bir pencerede açılır) özelliğini etkinleştirin. 

Ürünlerimizin güvenliği ve gizliliği her şeyden önemlidir ve bilgilerinizi koruma ve sorunlar ortaya çıktığında şeffaf bir şekilde iletişim kurma konusunda kararlıyız. Bize duyduğunuz güven için teşekkür ederiz. 

OpenAI

SSS

OpenAI neden Mixpanel kullandı?

• Mixpanel, API ürünümüz (platform.openai.com) için ürün kullanımını anlamamıza ve hizmetlerimizi geliştirmemize yardımcı olan üçüncü taraf bir web analiz sağlayıcısı olarak kullanıldı. Yardım merkezi üzerinden bilet gönderen veya platform.OpenAI.com'a giriş yapmış sınırlı sayıda ChatGPT kullanıcısının yukarıda belirtilen bilgileri Mixpanel tarafından kaydedilmiş olabilir. Bu kullanıcılar o zaman tespit edildi ve bilgilendirildiler.

Bu, OpenAI sistemlerindeki bir güvenlik açığı yüzünden mi meydana geldi?

• Hayır. Bu olay, Mixpanel’in sistemleriyle sınırlıydı ve OpenAI’ın altyapısına yetkisiz erişim içermiyordu.

Kuruluşumun veya benim etkilenip etkilenmediğimi nasıl anlarım?

• Şu anda etkilenen kişileri bilgilendirme sürecindeyiz ve sizi veya organizasyon yöneticinizi bilgilendirmek amacıyla doğrudan e-posta yoluyla sizinle iletişime geçeceğiz.

API verilerim, istemlerim veya çıktılarım etkilendi mi?

• Hayır. Sohbet içeriği, istemler, yanıtlar veya API kullanım verileri etkilenmedi.

ChatGPT hesapları bundan etkilendi mi?

• Yardım merkezi aracılığıyla bilet gönderen veya platform.openai.com'a giriş yapmış olan bazı ChatGPT kullanıcıları etkilenmiş olabilir. Bu durum daha önce kendilerine bildirilmişti.

OpenAI parolaları, API anahtarları veya ödeme bilgileri ifşa edildi mi?

• Hayır. OpenAI parolaları, API anahtarları, ödeme bilgileri, nüfus kimlikleri ve hesap erişim kimlik bilgileri etkilenmedi. Ayrıca OpenAI hizmetleri için oturum tokenlerinin, kimlik doğrulama tokenlerinin ve diğer hassas parametrelerin etkilenmediğini doğruladık.

Parolamı sıfırlamam veya API anahtarlarımı değiştirmem gerekiyor mu?

• Parolalar ve API anahtarları etkilenmediği için bu olayla ilgili olarak sıfırlama veya anahtar değişikliği önermiyoruz.

Kişisel bilgilerimi ve gizliliğimi korumak için ne yapıyorsunuz?

• Etkilenen veri setlerini bağımsız inceleme için elde ettik ve potansiyel etkiyi araştırmaya ve herhangi bir kötüye kullanım belirtisi olup olmadığını yakından izlemeye devam ediyoruz. Etkilenen tüm bireysel kullanıcıları ve kuruluşları bilgilendiriyoruz ve yanıt eylemleri konusunda Mixpanel ile iletişimdeyiz.

Mixpanel, OpenAI ürünlerinden kaldırıldı mı?

• Evet. 

Hesabım için çok faktörlü kimlik doğrulamayı etkinleştirmeli miyim?

• Evet. Bu olayda hesap kimlik bilgileri veya tokenler etkilenmemiş olsa da en iyi güvenlik kontrolü uygulaması olarak tüm kullanıcıların, hesaplarını daha fazla korumak için çok faktörlü kimlik doğrulamayı etkinleştirmelerini öneririz. Kurum ve kuruluşlar için çok faktörlü kimlik doğrulamanın çoklu oturum açma katmanında etkinleştirilmesini öneriyoruz. 

Bir değişiklik olursa daha fazla bilgilendirme alacak mıyım?

• Şeffaflık konusunda kararlıyız ve etkilenen kullanıcıları önemli ölçüde etkileyen yeni bilgiler tespit etmemiz hâlinde sizi bilgilendireceğiz. Ayrıca bu SSS sayfasını da güncelleyeceğiz. 

Sorularım olursa ulaşabileceğim birisi var mı?

• Sorularınız, endişeleriniz veya güvenlik sorunlarınız varsa mixpanelincident@openai.com⁠ adresinden destek ekibimize ulaşabilirsiniz.