OpenAI інформує користувачів своєї платформи API про інцидент безпеки в аналітичному провайдері Mixpanel. Відповідно до OpenAI, витік даних стосується виключно користувачів платформи розробників – користувачів ChatGPT це не стосується.
У заяві компанії наголошується: “Це не було порушенням систем OpenAI. Жодні чати, запити API, дані про використання API, паролі, облікові дані, ключі API, платіжні деталі чи документи, що засвідчують особу, не були зламані чи розкриті”.
9 листопада 2025 року Mixpanel виявила несанкціонований доступ до частин своїх систем. Зловмисники експортували набір даних, що містить обмежену інформацію про клієнта та аналітичні дані. 25 листопада 2025 року Mixpanel повідомила OpenAI про розслідування, що триває, і надала доступ до ураженого набору даних.
Розкрито обмежені дані користувача
Відповідно до заяви, розкрита інформація обмежується інтерфейсною аналітикою платформи API: імена в облікових записах API, адреси електронної пошти, приблизні дані про місцезнаходження на основі інформації про браузер (місто, штат, країна), використовувані операційні системи та веб-переглядачі, веб-сайти переходів, а також ідентифікатори організації та користувачів. Запити API, підказки, виходи або платіжна інформація не були частиною витоку даних. Згодом із постраждалими організаціями, адміністраторами та користувачами зв’язалися безпосередньо електронною поштою.
OpenAI припиняє співпрацю з Mixpanel
OpenAI має чіткі наслідки: компанія припинила співпрацю з Mixpanel і видалила інтеграцію з усіх виробничих сервісів. «Довіра, безпека та конфіденційність є фундаментальними для наших продуктів, нашої організації та нашої місії», — заявляє OpenAI.
Крім Mixpanel, компанія проводить розширені перевірки безпеки всієї екосистеми постачальників і має намір підвищити вимоги безпеки для всіх партнерів, але не надає конкретних деталей. Хоча облікові дані облікового запису не було зламано, OpenAI рекомендує бути більш пильними. Компанія не знайшла доказів впливу за межами середовища Mixpanel, але досліджує подальші ознаки неправильного використання.
Сама Mixpanel повідомляє в дописі в блозі, що виявила смішинг-атаку (SMS-фішинг). Співробітники отримали текстові повідомлення з метою збору облікових даних. У відповідь несанкціонований доступ було припинено, а постраждалі облікові записи захищено. За словами компанії, зовнішні партнери з кібербезпеки підтримали аналіз інциденту Mixpanel. Всі постраждалі клієнти були проінформовані; без відповідного повідомлення не залучаються. Серед клієнтів OpenAI, а також Joyn, LG, Pinterest, Workday і Yelp.
