OpenAI уведомила клиентов о произошедшем инциденте безопасности в компании Mixpanel, которая предоставляет сервисы веб-аналитики и использовалась OpenAI для аналитики фронтенда платформы platform.openai.com. Инцидент затронул только системы Mixpanel и ограниченные аналитические данные API-пользователей.
В OpenAI подчёркивают, что взлома собственных систем не было, и никакие данные из чатов, API-запросов, статистики использования API, пароли, учётные данные, API-ключи, платёжные данные или государственные документы не были раскрыты.
25 ноября 2025 года Mixpanel передала OpenAI копию затронутого набора данных.
В рамках расследования OpenAI:
После анализа инцидента OpenAI прекратила использование Mixpanel. Компания также проводит расширенные проверки всех используемых внешних сервисов и повышает требования к безопасности партнёров.
Поскольку в утечку могли попасть имена, e-mail адреса и метаданные API-учёток, OpenAI предупреждает о риске фишинга и социальной инженерии. Пользователям рекомендуется:
OpenAI заявляет, что безопасность и конфиденциальность остаются ключевыми приоритетами компании и что она продолжит информировать пользователей при любых инцидентах.
Для получения дополнительной информации компания предлагает ознакомиться с подробной публикацией в блоге и обратиться в службу поддержки по адресу mixpanelincident@openai.com.
В OpenAI подчёркивают, что взлома собственных систем не было, и никакие данные из чатов, API-запросов, статистики использования API, пароли, учётные данные, API-ключи, платёжные данные или государственные документы не были раскрыты.
Что произошло
9 ноября 2025 года Mixpanel обнаружила несанкционированный доступ к части своих систем. Злоумышленник экспортировал датасет, содержащий ограниченные пользовательские идентификаторы и аналитическую информацию.25 ноября 2025 года Mixpanel передала OpenAI копию затронутого набора данных.
Какие данные могли пострадать
В выгруженный датасет могли попасть следующие сведения, связанные с использованием платформы OpenAI API:- имя, указанное в API-аккаунте
- e-mail адрес
- приблизительное местоположение по данным браузера (город, штат/регион, страна)
- сведения об операционной системе и браузере
- рефереры (перешедшие сайты)
- идентификаторы пользователя или организации в рамках API-аккаунта
Реакция OpenAI
В рамках расследования OpenAI:
- удалила Mixpanel из производственной инфраструктуры,
- изучила содержимое полученного датасета,
- начала уведомление затронутых организаций и пользователей,
- усилила мониторинг возможных признаков злоупотреблений.
После анализа инцидента OpenAI прекратила использование Mixpanel. Компания также проводит расширенные проверки всех используемых внешних сервисов и повышает требования к безопасности партнёров.
Что важно учитывать пользователям
Поскольку в утечку могли попасть имена, e-mail адреса и метаданные API-учёток, OpenAI предупреждает о риске фишинга и социальной инженерии. Пользователям рекомендуется:
- с осторожностью относиться к неожиданным письмам и сообщениям, особенно содержащим ссылки или вложения;
- проверять, что любые письма от OpenAI отправлены с официальных доменов;
- помнить, что OpenAI никогда не запрашивает пароли, API-ключи или коды подтверждения по почте, SMS или в чате;
- включить многофакторную аутентификацию для защиты учётной записи.
OpenAI заявляет, что безопасность и конфиденциальность остаются ключевыми приоритетами компании и что она продолжит информировать пользователей при любых инцидентах.
Для получения дополнительной информации компания предлагает ознакомиться с подробной публикацией в блоге и обратиться в службу поддержки по адресу mixpanelincident@openai.com.
