OpenAI, ürünlerinde harici bir modülde güvenlik açığı tespit etti – kullanıcı verilerinin güvenliği ihlal edilmedi.

OpenAI, tespit edilen güvenlik tehdidi ve giderme önlemleri hakkında bilgi veriyor

OpenAI, birden fazla uygulamasında kullanılan üçüncü taraf bileşen Axios'ta potansiyel bir açık bulduğunu duyurdu. Bu nedenle şirket, macOS için yazılım sertifikasyon sürecini korumak amacıyla önlemler almak zorunda kaldı.

- Kayıp kanıt yok

Şu anda OpenAI, kötü niyetli kişilerin kullanıcı verilerine eriştiğine, sistemlerin işleyişini bozduğuna veya yazılımları değiştirdiğine dair herhangi bir teyit bulamamıştır.

- Açığı nasıl kapattılar

Şirket güvenlik sertifikalarını güncelledi ve macOS uygulama kullanıcılarının en son sürümlere geçmesini şiddetle önerdi. Bu, sahte yazılım yayılma riskini ortadan kaldırmaya yardımcı olacaktır.

- Olayın özeti

Mart ayının başında Axios kütüphanesi hacklendi ve kötü amaçlı bir sürüm GitHub Actions üzerinden CI/CD sürecinde yüklendi ve çalıştırıldı. Kötü amaçlı sürüm, ChatGPT Desktop, Codex, Codex‑cli ve Atlas uygulamalarını imzalamak için kullanılan sertifikalara erişti. Analiz, sertifikaların kötü amaçlı kodla çalınmadığını gösterdi.

- Eski sürümlerde sorun

8 Mart'tan önce yayınlanan OpenAI macOS masaüstü uygulamaları artık güncelleme ve destek almayacak. Bu durum programların çalışabilirliğinin kaybolmasına yol açabilir.

- Anahtar güvenliği

Şirket, OpenAI şifrelerinin ve API anahtarlarının korumalı kaldığını vurguladı. Olayın temel nedeni, GitHub Actions'ın yanlış yapılandırılmasıydı; bu sorun artık düzeltildi.

Böylece OpenAI, sertifikaları güncelleyerek ve kullanıcıları macOS uygulamalarının en son sürümlerine geçmeye davet ederek tehdidin giderilmesi işlemini tamamladı.