- В ноябре 2025 года в аналитической компании Mixpanel произошёл инцидент с утечкой данных пользователей OpenAI API.
- Утекли персональные данные: имена, адреса электронной почты, примерное местоположение, информация о браузере и операционной системе, но не были скомпрометированы пароли, платёжные данные и история запросов.
- OpenAI прекратила сотрудничество с Mixpanel и рекомендует пользователям быть внимательными к фишинговым атакам, настраивать двухфакторную аутентификацию и осторожно проверять электронные письма.
Компания OpenAI уведомила пользователей своего API о серьёзном инциденте с утечкой данных, произошедшем в сервисе аналитики Mixpanel, который OpenAI использовала для сбора информации о работе своего API-платформы (platform.openai.com). По словам компании, 9 ноября 2025 года Mixpanel выявила несанкционированный доступ злоумышленников к части своих систем, что привело к выгрузке ограниченного набора аналитических данных по клиентам OpenAI.
В результате утечки злоумышленники могли получить следующие данные: имя пользователя, адрес электронной почты, приблизительное местоположение, сведения об используемом браузере и операционной системе, а также информацию о сайтах-перенаправителях и идентификаторы организаций, связанные с API-аккаунтом. Важно отметить, что чувствительные данные, такие как пароли, платёжные реквизиты, история запросов и ключи API, не были скомпрометированы и остались в безопасности.
После обнаружения инцидента OpenAI инициировала расследование, приостановила сотрудничество с Mixpanel и удалили сервис из своей производственной среды. Компания сообщила, что внимательно анализирует масштаб утечки и уведомляет всех затронутых пользователей и административные аккаунты. Особое внимание уделяется корпоративным клиентам, которые в наибольшей степени подвержены риску из-за возможных фишинговых атак, основанных на полученной информации.
В качестве превентивных мер OpenAI рекомендует всем пользователям сохранять бдительность: осторожно относиться к неожиданным электронным письмам, проверять адрес отправителей — официальные сообщения приходят только с домена openai.com, не передавать посторонним свои пароли, коды подтверждения и ключи API, а также включить двухфакторную аутентификацию для защиты аккаунтов.
Согласно заявлению OpenAI, инцидент не связан с нарушением безопасности собственных систем компании. В настоящее время организация усиливает проверки безопасности по всем своим партнёрам и поставщикам и повышает требования к их надёжности.
OpenAI подчеркнула своё обязательство перед пользователями в вопросах безопасности и конфиденциальности, выразив готовность к прозрачному информированию о подобных случаях. Дополнительную информацию о событии и мерах, предпринимаемых компанией, можно найти в официальном блоге на сайте OpenAI.
