Po ogłoszeniu aktualizacji GPT-5.1, a następnie funkcjonalności grupowej, OpenAI, wydawca ChatGPT, właśnie dokonało zupełnie innego ogłoszenia: poinformowało swoich klientów e-mailem o incydencie bezpieczeństwa, który miał miejsce u ich dostawcy analitycznego Mixpanel. Chociaż według komunikacji OpenAI wpływy wydają się ograniczone, sytuacja ta ponownie podnosi kwestię ochrony danych w kontekście narzędzi AI. Oto kluczowe elementy, które należy znać, aby zrozumieć zakres wydarzenia i podjęte środki.
O incydencie Mixpanel i danych, których dotyczy
OpenAI wskazało, że złośliwy aktor uzyskał nieautoryzowany dostęp do części systemów Mixpanel 9 listopada 2025 roku. Ten dostęp umożliwił eksport ograniczonego zestawu informacji związanych z kontami API korzystającymi z interfejsu web platform.openai.com. Według przekazanych informacji, żadne wrażliwe dane związane z wymianą, zapytaniami API, hasłami, identyfikatorami rządowymi ani środkami płatniczymi nie zostały ujawnione.
Potencjalnie dotknięte elementy ograniczają się do danych profilowych i informacji związanych z technicznym środowiskiem przeglądania: nazwa zadeklarowana na koncie API, adres e-mail, przybliżona lokalizacja oparta na przeglądarce (miasto, stan, kraj), system operacyjny, przeglądarka, strony referencyjne oraz identyfikatory organizacji lub użytkownika powiązane z kontem.
Odpowiedź OpenAI i podjęte środki w zakresie bezpieczeństwa
Po otrzymaniu alertu od Mixpanel, OpenAI natychmiast wycofało tego dostawcę ze swoich usług produkcyjnych. Firma przeprowadziła następnie szczegółowy przegląd dotkniętych zestawów danych i nawiązała ścisłą współpracę z Mixpanel oraz innymi partnerami, aby zrozumieć zakres incydentu. Organizacje, administratorzy i dotknięci użytkownicy są w trakcie indywidualnego powiadamiania.
OpenAI twierdzi, że nie posiada żadnych wskazań sugerujących, że incydent dotknął ich własnych systemów. Firma jednak wzmacnia swoje kontrole w całym ekosystemie dostawców i stosuje podwyższone wymagania bezpieczeństwa. Zakończyła również definitywnie korzystanie z Mixpanel.
Ryzyko phishingu i środki ostrożności do podjęcia
Ujawnione informacje, takie jak nazwa, adres e-mail lub metadane użytkownika, mogą być wykorzystywane w ramach prób phishingu lub manipulacji społecznej. OpenAI zachęca wszystkich dotkniętych użytkowników do zachowania czujności wobec wiadomości mogących naśladować oficjalne komunikaty.
Zalecenia obejmują dokładne sprawdzanie nieoczekiwanych wiadomości, weryfikację dokładnego pochodzenia otrzymanych e-maili, brak przekazywania haseł, kluczy API lub kodów weryfikacyjnych, a także aktywację uwierzytelniania wieloskładnikowego w celu wzmocnienia ochrony konta.
Przejrzystość i zaangażowanie OpenAI
OpenAI przypomina, że bezpieczeństwo, prywatność i zaufanie pozostają w centrum jej misji. Firma zobowiązuje się do jasnego informowania swoich użytkowników, gdy wystąpi incydent, oraz do utrzymania wysokich standardów wśród wszystkich swoich dostawców technologicznych.
W przypadku dodatkowych pytań lub prośby o pomoc, użytkownicy mogą skontaktować się z dedykowanym zespołem lub adresem wskazanym przez OpenAI (mixpanelincident [AT] openai.com). Dostępny jest również szczegółowy wpis na blogu, aby zgłębić temat.
Źródło: https://openai.com/index/mixpanel-incident/