Web ve mobil analizlerin önde gelen sağlayıcısı Mixpanel'de yaşanan önemli bir **veri ihlali** sonrası analiz sektörü yeniden mercek altına alındı. ABD Şükran Günü tatili hafta sonundan sadece saatler önce duyurulan olay, özellikle etkilenen müşteri OpenAI'ın kullanıcı verilerinin çalındığını doğrulamasıyla belirsiz açıklaması nedeniyle eleştirilere yol açtı.
Mixpanel CEO'su Jen Taylor, geçen Çarşamba günü kısa bir blog yazısında başlangıçta "belirtilmemiş güvenlik olayı"nı duyurdu. Şirket, 8 Kasım'da yetkisiz erişim tespit ettiğini ve bunu "ortadan kaldırmak" için adımlar attığını belirtti, ancak ihlalin niteliği, etkilenen müşteri sayısı veya tehlikeye atılan veri türü hakkında hiçbir ayrıntı vermedi.
TechCrunch'ın Mixpanel CEO'su Jen Taylor'dan açıklama alma girişimleri sessizlikle karşılandı. Yayın, potansiyel fidye talepleri ve Mixpanel çalışan hesaplarının çok faktörlü kimlik doğrulama ile korunup korunmadığına dair sorular da dahil olmak üzere bir düzineden fazla soru gönderdi, ancak yanıt alamadı.
Mixpanel'in ilk duyurusundan iki gün sonra, önde gelen bir Mixpanel müşterisi olan OpenAI, kendi blog yazısını yayınlayarak müşteri verilerinin Mixpanel sistemlerinden çalındığını açıkça doğruladı. OpenAI, web sitesiyle kullanıcı etkileşimlerini, özellikle de geliştirici belgelerini analiz etmek için Mixpanel'in yazılımına güvendiğini açıkladı.
İhlal, öncelikli olarak uygulamaları veya web siteleri OpenAI ürünleriyle entegre olan geliştirici OpenAI kullanıcılarını etkiledi. Tehlikeye atılan veriler arasında kullanıcıların sağladığı adlar, e-posta adresleri, yaklaşık konum (IP adresinden türetilen şehir ve eyalet) ve işletim sistemi ve tarayıcı sürümü gibi tanımlanabilir cihaz bilgileri bulunuyordu. Bu tür veriler, Mixpanel tarafından uygulamalar ve web siteleriyle etkileşim kuran cihazlardan yaygın olarak toplanır.
OpenAI sözcüsü Niko Felix, TechCrunch'a çalınan verilerin Android reklam kimlikleri veya Apple'ın IDFA'ları gibi tanımlayıcıları içermediğini, bunların daha kolay kişisel tanımlama veya kullanıcıların uygulamalar arası takibini kolaylaştırabileceğini belirtti. OpenAI ayrıca ChatGPT kullanıcılarının doğrudan etkilenmediğini ve ihlalin doğrudan bir sonucu olarak Mixpanel hizmetlerini kullanmayı sonlandırdığını doğruladı.
İhlalle ilgili sınırlı ayrıntılar, web sitelerinden ve uygulamalardan kapsamlı kullanıcı etkileşim verileri toplayarak gelişen daha geniş **veri analizi endüstrisi** üzerindeki incelemeyi yoğunlaştırdı.
Mixpanel Kullanıcı Etkinliğini Nasıl İzler ve Veri Toplar?
Mixpanel, uygulama geliştirme ve pazarlama profesyonellerine hizmet veren, en büyük ancak daha az bilinen web ve mobil analiz firmalarından biridir. 8.000 kurumsal müşterisiyle (OpenAI'ın ayrılmasından sonra şimdi 7.999), her müşterinin milyonlarca kendi kullanıcısı olabileceği göz önüne alındığında, ihlalden etkilenen bireylerin potansiyel sayısı önemli olabilir. İhlal edilen verilerin belirli türleri, her Mixpanel müşterisinin veri toplamasını nasıl yapılandırdığına bağlı olarak değişebilir.
Mixpanel gibi şirketler, işletmelerin kullanıcıların dijital platformlarıyla nasıl etkileşim kurduğuna dair içgörüler elde etmelerini sağlayan izleme teknolojileri sunan gelişen bir endüstrinin ayrılmaz bir parçasıdır. Bu genellikle, potansiyel olarak milyarlarca veri noktasına ulaşan muazzam hacimli tüketici bilgilerinin toplanmasını ve depolanmasını içerir.
Geliştiriciler, bu görünürlüğü sağlamak için Mixpanel'in kodunu uygulamalarına veya web sitelerine yerleştirir. Son kullanıcı için bu süreç, her tıklama, dokunma, kaydırma ve bağlantı etkileşiminin sürekli olarak uygulama veya web sitesi geliştiricisiyle paylaşıldığı için, birinin gizlice omzunun üzerinden bakmasına benzer bir his verebilir.
TechCrunch'ın Imgur, Lingvano, Neon ve Park Mobile gibi uygulamalarda Burp Suite gibi açık kaynak araçları kullanarak yaptığı analiz, Mixpanel'in topladığı kapsamlı verileri ortaya koydu. Bu veriler, uygulama açılışları, bir bağlantıya dokunma, bir sayfayı kaydırma veya hatta kullanıcı adları ve şifrelerle oturum açma gibi kullanıcı etkinliklerini içerir. Bu olay günlüğü verileri daha sonra kullanıcı ve cihazları hakkındaki bilgilerle eşleştirilir; bu bilgilere cihaz türü (örn. iPhone, Android), ekran boyutları, ağ durumu (hücresel veya Wi-Fi), cep telefonu şebekesi operatörü, o hizmet için oturum açmış kullanıcının benzersiz tanımlayıcısı ve kesin zaman damgaları dahildir.
Özellikle, Mixpanel'in kendisi 2018'de itiraf etti ki, analiz kodu kullanıcıların şifrelerini istemeden toplamıştı, bu da hassas, "yasak" bilgilerin toplanması için geçmişte bir emsal teşkil ediyordu.
Analiz verileri tipik olarak "takma adlaştırılmış" olsa da – yani adlar gibi tanımlanabilir ayrıntılar gizliliği artırmak için benzersiz, rastgele tanımlayıcılarla değiştirilir – bu süreç kusursuz değildir. Takma adlaştırılmış veriler genellikle gerçek dünya kimliklerini ortaya çıkarmak için tersine çevrilebilir. Ayrıca, bir kişinin cihazı hakkında toplanan veriler, bir cihazı benzersiz bir şekilde tanımlayan ve çeşitli uygulamalar ile internet genelinde kullanıcı etkinliğini izleyen bir teknik olan "parmak izi" için kullanılabilir.
Cihazlar ve uygulamalar arasındaki bu kapsamlı izleme, analiz şirketlerinin müşterilerine kullanıcıların ve dijital davranışlarının ayrıntılı profillerini oluşturmalarına yardımcı olmasını sağlar.
Mixpanel ayrıca, geliştiricilerin sorunları belirlemesine yardımcı olmak için bir uygulama veya web sitesiyle kullanıcı etkileşimlerini görsel olarak yeniden oluşturan bir özellik olan "oturum tekrarları" sunar. Kişisel olarak tanımlanabilir veya şifreler ve kredi kartı numaraları gibi hassas verileri hariç tutmak üzere tasarlanmış olsa da, Mixpanel bu tekrarların bazen istemeden bu tür bilgileri yakalayabileceğini kabul etmiştir. Apple daha önce 2019'da bir TechCrunch ifşasının ardından benzer ekran kaydı teknolojilerini kullanan uygulamalara sert önlemler almıştı.
Mixpanel'in şeffaflık eksikliği, bu **veri ihlalinin** kapsamı ve etkisi hakkında birçok kritik soruyu yanıtsız bırakıyor. Olay, analiz firmalarının elindeki devasa kişisel bilgi depolarını ve kötü niyetli aktörler için artan çekiciliklerini vurguluyor.
