Analitik devi Mixpanel'de yaşanan veri sızıntısı, ABD'deki Şükran Günü tatili öncesinde duyurulmasıyla dikkat çekti ve veri ihlallerinin nasıl yönetilmemesi gerektiğine dair yeni bir örnek teşkil etti. Geçtiğimiz Çarşamba günü yayınlanan sınırlı bir blog yazısında Mixpanel CEO'su Jen Taylor, 8 Kasım'da şirketin bazı müşterilerini etkileyen tanımlanamayan bir güvenlik olayı tespit ettiğini duyurdu. Ancak, müşterilerin nasıl etkilendiği veya kaç kişinin etkilendiği konusunda herhangi bir bilgi verilmezken, Mixpanel'in "yetkisiz erişimi ortadan kaldırmak" için bir dizi güvenlik önlemi aldığı belirtildi. Mixpanel CEO'su Jen Taylor, şirketin veri ihlaliyle ilgili TechCrunch'tan gelen ve bir düzineden fazla soru içeren birden fazla e-postaya yanıt vermedi.
AÇIKLANMAYAN DETAYLAR VE AÇIK SORULAR
Taylor'a, hackerlardan herhangi bir iletişim alıp almadıkları, örneğin para talebi gibi, ayrıca Mixpanel çalışan hesaplarının çok faktörlü kimlik doğrulama ile korunup korunmadığı gibi veri ihlaline ilişkin diğer spesifik sorular soruldu. Etkilenen müşterilerden biri olan OpenAI, kendi blog yazısında Mixpanel'in kendi yazısında açıkça belirtmediği bir gerçeği doğruladı: Mixpanel sistemlerinden müşteri verileri çalınmıştı. OpenAI, Mixpanel'in belirli web sitesi bölümleriyle, örneğin geliştirici belgeleriyle kullanıcıların nasıl etkileşimde bulunduğunu anlamasına yardımcı olmak için Mixpanel tarafından sağlanan yazılıma güvendiği için ihlalden etkilendiğini belirtti. Mixpanel ihlalinden etkilenen OpenAI kullanıcıları, kendi uygulamaları veya web siteleri OpenAI'nin ürünlerine dayanan geliştiriciler olma ihtimali yüksek. OpenAI, çalınan verilerinin kullanıcıların sağladığı isim, e-posta adresleri, IP adreslerine dayalı yaklaşık konumları (şehir ve eyalet gibi) ve işletim sistemi ve tarayıcı sürümü gibi bazı tanımlanabilir cihaz verilerini içerdiğini söyledi. Bu bilgilerin bir kısmı, Mixpanel'in uygulamaları ve web sitelerini kullanırken insanlardan topladığı verilerle aynı türden. OpenAI sözcüsü Niko Felix, TechCrunch'a yaptığı açıklamada, Mixpanel'den çalınan verilerin "Android reklam kimliği veya Apple'ın IDFA'sı gibi, belirli OpenAI kullanıcılarını kişisel olarak tanımlamayı veya OpenAI etkinliklerini diğer uygulamalar ve web sitelerinden gelen kullanımla birleştirmeyi kolaylaştırabilecek tanımlayıcılar içermediğini" belirtti. OpenAI, blog yazısında olayın doğrudan ChatGPT kullanıcılarını etkilemediğini ve ihlal sonucunda Mixpanel kullanımını sonlandırdığını belirtti. İhlalin detayları sınırlı kalırken, bu olay, web siteleri ve uygulamaları insanların nasıl kullandığı hakkında büyük miktarda bilgi toplamakla kar elde eden veri analizi sektörüne yönelik yeni bir inceleme çekiyor.
VERİ ANALİZİ SEKTÖRÜ VE GİZLİLİK ENDİŞELERİ
Mixpanel, uygulama geliştirme veya pazarlama alanında çalışmıyorsanız muhtemelen hiç duymadığınız en büyük web ve mobil analiz şirketlerinden biridir. Web sitesine göre Mixpanel'in 8.000 kurumsal müşterisi var - OpenAI'nin erken çıkışından sonra şimdi bir eksik. Her Mixpanel müşterisinin potansiyel olarak kendi milyonlarca kullanıcısı olduğu düşünüldüğünde, ihlalde çalınan sıradan insanların verilerinin sayısı önemli olabilir. Çalınan verilerin türü, her Mixpanel müşterisi için, her müşterinin veri toplama ayarlarını nasıl yapılandırdığına ve ne kadar kullanıcı verisi topladıklarına bağlı olarak değişecektir. Mixpanel gibi şirketler, şirketlerin müşterileri ve kullanıcılarının uygulamaları ve web siteleriyle nasıl etkileşimde bulunduğunu anlamalarını sağlayan izleme teknolojileri sağlayan büyüyen bir sektörün parçasıdır. Bu nedenle, analitik şirketler, düzenli tüketiciler hakkında milyarlarca veri noktası da dahil olmak üzere büyük miktarda bilgi toplayabilir ve saklayabilir. Örneğin, bir uygulama oluşturucu veya web sitesi geliştiricisi, bu görünürlüğü elde etmek için Mixpanel gibi bir analitik şirketinden bir kod parçacığını uygulamasına veya web sitesine yerleştirebilir. Uygulama kullanıcısı veya web sitesi ziyaretçisi için, sürekli olarak şirkete her tıklamayı veya dokunmayı, kaydırmayı ve bağlantı basmayı paylaşırken, bir web sitesini veya uygulamayı kullanırken bilmeden omzunuzun üzerinden birinin sizi izlemesi gibidir. Mixpanel'in durumunda, kodunun yerleştirildiği uygulamalardan ve web sitelerinden Mixpanel'in topladığı veri türlerini görmek kolaydır. TechCrunch, Burp Suite gibi açık kaynaklı araçları kullanarak, Imgur, Lingvano, Neon ve Park Mobile gibi Mixpanel kodu içeren birkaç uygulamayla gidip gelen ağ trafiğini analiz etti. Çeşitli testlerimizde, uygulamaları kullanırken cihazımız ve uygulama içi etkinlik hakkında çeşitli bilgilerin Mixpanel'e yüklendiğini gördük. Bu veriler, kişinin etkinliğini, örneğin uygulamayı açmayı, bir bağlantıya dokunmayı, bir sayfayı kaydırmayı veya kullanıcı adıyla oturum açmayı içerebilir. Bu olay günlük verileri daha sonra kullanıcı ve cihaz hakkındaki bilgilerle ilişkilendirilir; cihaz türü (iPhone veya Android gibi), ekran genişliği ve yüksekliği, kullanıcının telefon ağında mı yoksa Wi-Fi'de mi olduğu, kullanıcının hücresel ağ operatörü, o hizmet için oturum açmış kullanıcının benzersiz tanımlayıcısı (uygulama kullanıcısına bağlanabilir) ve o olay için kesin zaman damgası. Toplanan veriler, müşterinin veri toplama ayarlarını nasıl yapılandırdığına bağlı olarak daha fazla veya daha az içerebilir ve bazen yasak olması gereken bilgileri toplar. Mixpanel, 2018'de analitik kodunun istemeden kullanıcıların şifrelerini topladığını kabul etti. Analitik şirketleri tarafından toplanan verilerin takma adlandırılmış olması amaçlanmıştır - yani, bir kişinin adını içermeyen, karıştırılmış bir şekilde. Bunun yerine, toplanan bilgiler, bir kişinin adı yerine kullanılan benzersiz ancak rastgele görünen bir tanımlayıcıya atfedilir; verileri saklamanın sözde daha gizlilik odaklı bir yolu. Ancak takma adlandırılmış veriler tersine çevrilebilir ve insanların gerçek kimliklerini belirlemek için kullanılabilir. Ayrıca, bir kişinin cihazı hakkında toplanan veriler, o cihazı benzersiz bir şekilde tanımlamak için kullanılabilir, bu da "parmak izi" olarak bilinir ve bu da kullanıcının farklı uygulamalardaki ve internet genelindeki etkinliğini izlemek için kullanılabilir. Analitik şirketleri, cihazınızdaki çeşitli uygulamalardaki etkinliklerinizi izleyerek, müşterilerinin kullanıcıların ve etkinliklerinin profillerini oluşturmalarını kolaylaştırır. Mixpanel ayrıca müşterilerinin, geliştiricilerin hataları ve sorunları belirleyebilmeleri için şirketin kullanıcılarının bir uygulama veya web sitesiyle nasıl etkileşimde bulunduğunu görsel olarak yeniden oluşturan "oturum tekrarlarını" toplamasına izin verir. Oturum tekrarlarının, toplanan herhangi bir kullanıcı oturumundan şifreler ve kredi kartı numaraları gibi kişisel olarak tanımlanabilir veya hassas bilgileri hariç tutması amaçlanmıştır, ancak bu süreç de mükemmel değildir. Mixpanel'in kendi kabulüne göre, oturum tekrarları bazen kaydedilmemesi gereken hassas bilgiler içerebilir, ancak istemeden toplanır. Apple, TechCrunch'ın 2019'daki uygulamayı ortaya çıkarmasından sonra ekran kaydı kodunu kullanan uygulamalara baskı yaptı. Mixpanel'in ihlaliyle ilgili cevaplaması gereken soruların olduğu söylenebilir, belki de bir understatement. Belirtilen verilerin belirli türleri bilinmeden, bu ihlalin ne kadar büyük olduğu veya kaç kişinin etkilenebileceği açık değildir. Belki Mixpanel henüz bilmiyordur. Açık olan şey, Mixpanel gibi şirketlerin insanlar ve uygulamalarını nasıl kullandıkları hakkında devasa bilgi bankaları depolaması ve açıkça kötü niyetli hackerlar için bir odak noktası haline gelmesidir. Mixpanel veri ihlali hakkında daha fazla bilginiz var mı? Mixpanel'de veya ihlalden etkilenen bir şirkette mi çalışıyorsunuz? Sizden haber almaktan memnuniyet duyarız. Bu muhabirle güvenli bir şekilde iletişim kurmak için Sinyal üzerinden zackwhittaker.1337 kullanıcı adıyla ulaşabilirsiniz.
