Yapay zeka dünyasının zirvedeki ismi OpenAI, "Mini Shai-Hulud" adı verilen sofistike bir siber saldırının kurbanı oldu. Popüler açık kaynak kütüphanesi TanStack üzerinden gerçekleştirilen bu tedarik zinciri saldırısında, OpenAI’ın iç kaynak kod depolarına sızıldığı resmen doğrulandı.
Saldırı nasıl gerçekleşti?
Siber güvenlik ekiplerinin incelemesine göre saldırganlar, OpenAI çalışanlarının kullandığı "TanStack npm" paketlerine kötü amaçlı yazılım enjekte etti. Bu yöntemle çalışanların kurumsal cihazlarına erişim sağlayan TeamPCP çetesi, şirketin kısıtlı erişime sahip bazı iç kod depolarından veri sızdırdı.
Kullanıcı verileri güvende mi?
OpenAI, kullanıcıların yüreğine su serpen bir açıklama yaparak ana yapay zeka modellerine (GPT-4 vb.) erişim sağlanamadı. ChatGPT kullanıcı verileri veya üretim sistemleri bu saldırıdan etkilenmedi ancak sızdırılan veriler arasında OpenAI’ın uygulamalarına ait "kod imzalama sertifikaları" yer alıyor.
Mac kullanıcıları dikkat: 12 Haziran son tarih!
Kod imzalama sertifikalarının sızması, saldırganların OpenAI adını kullanarak macOS sistemlerine zararlı yazılım sızdırabileceği anlamına geliyor. Bu riski bertaraf etmek için OpenAI eski sertifikaları iptal etti.
Kritik uyarı: ChatGPT Mac masaüstü uygulaması kullanıcılarının 12 Haziran 2026 tarihine kadar uygulamalarını en son sürüme güncellemesi gerekiyor. Bu tarihten sonra eski sertifikalı uygulamalar Apple’ın Gatekeeper koruması tarafından engellenecek ve çalışmayacak.
Tedarik zinciri saldırıları korkutuyor
OpenAI gibi bir devin bile üçüncü parti bir kütüphane üzerinden vurulması, siber güvenliğin en zayıf halkası olan "yazılım tedarik zinciri" tehlikesini yeniden gündeme taşıdı. Şirket, kurumsal kimlik bilgilerini yenileyerek sistemleri izole ettiğini duyursa da, siber güvenlik dünyasında eleştirilerin odağına yerleşti.
Yorumlar (0)