OpenAI a confirmat că un incident de securitate produs la un partener extern, Mixpanel, a dus la expunerea unor informații de profil asociate utilizatorilor serviciilor sale API. Compania a subliniat că infrastructura OpenAI nu a fost compromisă și că utilizatorii ChatGPT nu au fost afectați. Totuși, OpenAI a decis să înceteze imediat colaborarea cu furnizorul implicat.
Incidentul a fost detectat de Mixpanel pe 9 noiembrie 2025, când compania a identificat un acces neautorizat la o parte a infrastructurii sale. Pe 25 noiembrie, OpenAI a primit fișierul conținând datele potențial expuse și a demarat o verificare independentă. Compania a confirmat că incidentul a fost limitat mediului Mixpanel, fără niciun impact asupra serverelor proprii.
Conform declarațiilor oficiale, datele afectate sunt limitate la informații de profil considerate non-sensibile: nume de utilizator, adrese de e-mail, locație aproximativă, tipul de browser și sistemul de operare utilizat, site-urile de referință și identificatori organizaționali sau de utilizator. OpenAI a subliniat că nu au fost compromise conversațiile, cheile API, parolele, datele de plată sau documentele de identitate.
În urma incidentului, OpenAI a eliminat imediat Mixpanel din lista de furnizori activi și a implementat controale de securitate suplimentare pentru toți partenerii săi, stabilind standarde minime mai ridicate. Utilizatorii și administratorii potențial afectați au fost notificați direct.
Compania avertizează că informațiile expuse pot fi folosite în tentative de phishing sau atacuri de tip social engineering. Utilizatorilor li se recomandă să fie precauți la mesajele suspecte, să verifice atent domeniul expeditorului și să nu furnizeze parole, coduri sau chei API prin e-mail, SMS sau chat, deoarece OpenAI nu solicită aceste informații prin astfel de canale. Activarea autentificării multifactor este încurajată.
Chiar și expuneri limitate de acest tip pot crește riscul de atacuri asupra companiilor care folosesc API-urile OpenAI, fie în ecommerce, marketing, suport clienți sau aplicații comerciale. OpenAI a afirmat că nu există indicii că datele ar fi fost folosite abuziv și că nu este necesară schimbarea parolelor sau rotația cheilor API.
0 Comentarii