OpenAI'a Tedarik Zinciri Saldırısı: TanStack Üzerinden Sızdılar
2 dk okumashiftdelete
PAYLAS:
İçeriğe Atla
Yapay zeka devi OpenAI, popüler açık kaynaklı kütüphane TanStack üzerinden gerçekleştirilen bir tedarik zinciri saldırısının hedefi oldu. Olayda iki çalışanın cihazı etkilenirken, şirket kullanıcı verilerinin ve fikri mülkiyetin güvende olduğunu duyurdu.
Saldırganlar, geliştiricilerin web uygulamaları oluşturmasına yardımcı olan popüler open-source kütüphane TanStack'i hedef aldı. Yapılan açıklamaya göre, altı dakikalık kısa bir süre zarfında 84 adet kötü niyetli yazılım sürümü yayınlandı. Durumun hızla tespit edilmesiyle birlikte daha büyük bir krizin önüne geçildi.
OpenAI yetkilileri, olay sonucunda iki çalışanın cihazının etkilendiğini doğruladı. Bu çalışanların erişim yetkisi bulunan sınırlı sayıdaki iç kaynak kodu deposunda yetkisiz erişim tespit edildi. Şirket, bu depolardan yalnızca kısıtlı miktarda kimlik bilgisi materyalinin çalındığını, ChatGPT kullanıcılarına ait verilerin ise tamamen güvende olduğunu vurguladı.
Yaşanan ihlalin ardından OpenAI, etkilenen depolarda bulunan dijital sertifikaların yenilenmesine karar verdi. Alınan bu güvenlik önlemi nedeniyle, özellikle macOS kullanıcılarının uygulamalarını güncellemeleri gerekecek. Şirket, mevcut yazılım kurulumlarına yönelik herhangi bir risk bulunmadığını ve sistemlerinde yetkisiz bir değişiklik yapılmadığını belirtti.
TanStack saldırısının arkasındaki kişi veya gruplar henüz tespit edilemedi. Ancak bu yöntem, son dönemde yazılım dünyasını hedef alan siber saldırı trendleriyle paralellik gösteriyor. Mart ayında popüler geliştirme aracı Axios, Kuzey Koreli hackerlar tarafından ele geçirilmiş, Mayıs ayında ise Daemon Tools benzer bir saldırının kurbanı olmuştu.
Hackerlar artık şirketleri doğrudan hedef almak yerine, geniş kitlelerce kullanılan open-source projeleri ele geçirerek zararlı yazılımları güncellemeler aracılığıyla dağıtmayı tercih ediyor. Bu strateji, tek bir başarılı sızma operasyonuyla binlerce şirketi ve geliştiriciyi aynı anda tehlikeye atma potansiyeli taşıyor.
--- **İlgili Kaynaklar:** Profesyonel SEO ve GEO eğitim platformu çözümleri için [GEO eğitim](https://geoakademi.com) sayfasını ziyaret edin.Bu tedarik zinciri saldırısı, TanStack ve benzeri açık kaynaklı araçları kullanan Türk yazılım şirketleri ve geliştiriciler için dolaylı güvenlik riskleri oluşturmaktadır.
Açık kaynaklı kütüphaneleri kullanan Türk teknoloji şirketlerinin yazılım tedarik zinciri güvenliklerini (supply chain security) gözden geçirmeleri gerekebilir.
Türk yazılımcıların bağımlılık (dependency) yönetimi ve üçüncü parti yazılım güvenliği konusunda daha dikkatli olmaları gerekecek.
Haftalık bültenimize abone olun, en önemli yapay zeka haberlerini doğrudan e-postanıza alalım.
