OpenAI zakończyło współpracę z firmą analityczną Mixpanel po: naruszenie danych która ujawniła dane osobowe programistów korzystających z jej platformy API. Incydent, który OpenAI publicznie ujawnił 27 listopada 2025 r., wynika z nieuprawnionego włamania do systemów Mixpanel w dniu 9 listopada 2025 r. Chociaż Mixpanel powiadomił OpenAI o dochodzeniu wkrótce po naruszeniu, konkretny zbiór danych potwierdzający ujawnienie profili programistów OpenAI został udostępniony dopiero 25 listopada 2025 r.
Naruszenie dotyczy wyłącznie użytkowników platform.openai.comśrodowisko, w którym programiści tworzą aplikacje i zarządzają nimi przy użyciu modeli OpenAI. OpenAI ma to wyraźnie potwierdzony że incydent nie dotknął własnej infrastruktury ani usługi ChatGPT skierowanej do konsumentów.
Krytyczne dane uwierzytelniające — w tym hasła, klucze API, informacje o płatnościach i identyfikatory rządowe — pozostają bezpieczne. Jednak zbiór danych, który wyciekł, zawiera metadane, które można wykorzystać do ukierunkowanych ataków socjotechnicznych. Widoczne pola obejmują nazwy i adresy e-mail powiązane z kontami API, identyfikatory organizacji, identyfikatory użytkowników, szczegóły przeglądarki i systemu operacyjnego, strony odsyłające oraz ogólne dane o lokalizacji pochodzące z sesji przeglądarki.
W odpowiedzi na porażkę dostawcy OpenAI usunął Mixpanel ze swoich usług produkcyjnych i przeprowadza rozszerzony przegląd bezpieczeństwa całego swojego ekosystemu stron trzecich. Chociaż naruszenie nie naruszyło tokenów uwierzytelniających, OpenAI zaleca wszystkim użytkownikom włączenie uwierzytelniania wieloskładnikowego (MFA) w ramach zapobiegawczej ochrony przed przyszłymi próbami fałszowania danych uwierzytelniających lub phishingu, które mogą wykorzystywać dane profilowe, które wyciekły. To wydarzenie podkreśla luki w zabezpieczeniach łańcucha dostaw nieodłącznie związane ze skalowaniem platform oprogramowania; nawet jeśli twierdza głównej firmy jest bezpieczna, zewnętrzni dostawcy usług analitycznych i narzędzi zintegrowany z ich stosem mogą służyć jako otwarte tylne drzwi do eksfiltracji danych.
