Dijital ürünler geliştirilirken üçüncü taraflardan destek alınıyor. Bu destek, ürün gelişiminde hız ve verimlilik getirirken önemli bir sorunu da getiriyor: Üçüncü Taraf Kaynaklı Güvenlik Riskleri. Geçtiğimiz aylarda yaşanan bir olay bu riski tüm gerçekliğiyle karşımıza çıkartmış oldu.

OpenAI, API ürününün (platform.openai.com) ön uç arayüzünde web analizi amacıyla üçüncü taraf bir veri analizi sağlayıcısı olan Mixpanel’i kullanıyordu.

9 Kasım 2025’te, Mixpanel sistemlerinin bir bölümüne yetkisiz erişim sağlandığını tespit etti. Sınırlı müşteri tanımlayıcı bilgileri ve analiz verileri içeren bir veri setinin dışa aktarıldığını belirledi. Mixpanel, bu durumu OpenAI’ye bildirdi ve yürütülen inceleme sonucunda 25 Kasım 2025’te etkilenen veri setini OpenAI ile paylaştı.

OpenAI, şeffaflık ilkesinin bir gereği olarak, olay içeriğini açıkladı ve etkilenen kullanıcı tanımını netleştirdi. İlk açıklamada yalnızca “API kullanıcılarının” etkilendiği ifade edilmişti. Güncellenmiş haliyle etkilenen kullanıcılar şunları kapsıyor:

• API kullanıcıları
• Yardım merkezi üzerinden destek kaydı gönderen kullanıcılar
• platform.openai.com adresinde oturum açmış sınırlı sayıdaki ChatGPT kullanıcıları

Mixpanel’den dışarı aktarılan veri setinde yer alabilecek bilgiler son derece sınırlıdır ve şunlarla sınırlı olabilir:

• Hesapta OpenAI’ye sağlanan isim
• Hesapla ilişkili e-posta adresi
• Tarayıcıya dayalı yaklaşık konum bilgisi (şehir, eyalet, ülke)
• Kullanılan işletim sistemi ve tarayıcı
• Yönlendiren web siteleri
• Hesapla ilişkili kuruluş veya kullanıcı kimlikleri

OpenAI’nin özellikle bu olayın bir sistem ihlali olmadığını vurguladı. Ve bilhassa sohbet içerikleri, API istekleri ve kullanım verileri, parolalar, kimlik doğrulama bilgileri, ödeme bilgileri, resmî kimlik / nüfus bilgileri ve oturum veya kimlik doğrulama token’larının kesinlikle etkilenmediğini açıkladı.

Olayın tespit edilmesinin ardından OpenAI, Mixpanel’i üretim ortamlarından tamamen kaldırdı. Mixpanel ve diğer iş ortaklarıyla birlikte olayın kapsamını analiz etti.

Mixpanel dışındaki tedarikçi ekosistemi genelinde ek güvenlik incelemeleri başlattı. Tüm iş ortakları için güvenlik gereksinimlerini yükseltti.

Dijital ekosistemlerin giderek karmaşıklaştığı günümüzde kurumlar, güvenlik yatırımlarını büyük ölçüde kendi altyapıları ve uygulamaları üzerinde yoğunlaştırmaktadır. Ancak son yıllarda yaşanan olaylar açıkça göstermiştir ki gerçek risk, çoğu zaman kurumun doğrudan kontrolünde olmayan üçüncü taraflardan kaynaklanmaktadır. Analitik servis sağlayıcıları, bulut platformları, yazılım tedarikçileri ve operasyonel iş ortakları; fark edilmeden kurumun saldırı yüzeyini genişletmekte ve güvenlik zincirinin en kontrol edilemez ve en zayıf halkası hâline gelebilmektedir. Bu riskler çoğu zaman görünür ve olmadığı için yönetilememekte, fark edildiğinde ise maddi ve itibar kayıpları çoktan ortaya çıkmış olmaktadır.

Bu noktada TPRM (Third Party Risk Management) yaklaşımı, üçüncü taraf riskini dinamik ve sürekli izlenen bir yönetişim alanına dönüştürür. Bu yaklaşımı destekleyen Forcerta TRiM Hizmeti kapsamında tedarikçiler yalnızca sözleşme veya onboarding aşamasında değerlendirilmez; güvenlik duruşları zaman içinde izlenir, dış saldırı yüzeyleri takip edilir ve risk seviyelerindeki değişimler erken aşamada tespit edilir. Böylece kurumlar, “geçmişte kalan bir tarihte uygundu” varsayımına değil, bugünkü gerçek risk durumuna dayalı karar alma imkânı kazanır.

TRiM’in en önemli katkılarından biri, üçüncü taraf kaynaklı riskleri yalnızca teknik bir güvenlik problemi olarak değil, doğrudan iş sürekliliğini ve kurumsal itibarı etkileyen stratejik bir risk olarak ele almasıdır. Bu yaklaşım sayesinde güvenlik fonksiyonu reaktif bir yapıdan çıkarak öngörülebilir, ölçülebilir ve yönetime anlamlı içgörüler sunan bir role evrilir. Sonuç olarak TRiM, kurumların üçüncü taraf kaynaklı güvenlik olaylarını yaşandıktan sonra yönetmesini değil, yaşanmadan önce engellemesini hedefleyen bütüncül bir risk yönetimi yaklaşımı sunar.

Bu yazı serimiz kapsamındaki diğer yazılarımıza aşağıdaki bağlantılardan erişebilirsiniz:

• Yapay Zekâ Yönetişimi
• Yapay Zekâ Denetimi İçin Başlangıç Noktası

Forcerta ürün ve hizmetleri konusunda bilgi almak için aşağıdaki formu doldurarak iletişime geçebilirsiniz.