2025. november 9-én a Mixpanel – egy harmadik féltől származó webanalitikai szolgáltató, amelyet az OpenAI az API-termékei frontendjéhez használt – adatbiztonsági incidenst szenvedett el. Egy támadó jogosulatlan hozzáférést szerzett a rendszer egy részéhez, és egy olyan adathalmazt exportált, amely ügyfeleket azonosító és analitikai adatokat tartalmazott. Az OpenAI megerősítette, hogy az incidens érintett egyes API-felhasználókat, miután a Mixpanel 2025. november 25-én megosztotta a kompromittált adathalmazt – ezzel lehetővé téve a vizsgálat megkezdését. Lényeges részlet, hogy az incidens a Mixpanel infrastruktúráján belül történt, nem az OpenAI saját rendszereiben.
Az exportált adatok között szerepeltek API-fiókokban megadott nevek, e-mail-címek, böngészőadatok alapján meghatározott hozzávetőleges tartózkodási helyek, operációs rendszer- és böngészőinformációk, valamint API-fiókokhoz tartozó szervezeti és felhasználói azonosítók. Az OpenAI megerősítette, hogy chat-tartalmak, promptok, válaszok, API-használati adatok, jelszavak, API-kulcsok, fizetési információk, személyi okmányok adatai és fiókbelépési adatok nem érintettek az incidensben. A biztonsági vizsgálatot követően az OpenAI azonnal eltávolította a Mixpanelt a szolgáltatásai közül, és megszüntette az analitikai szolgáltató használatát. A kiszivárgott információk – különösen a nevek és e-mail-címek – potenciálisan felhasználhatók adathalász támadásokhoz vagy social engineering típusú manipulációkhoz.
Az OpenAI jelenleg kiterjesztett biztonsági auditokat végez a teljes beszállítói ökoszisztémájában, és megemeli a biztonsági követelményeket minden harmadik fél partnere számára. A vállalat közölte, hogy a folyamatban lévő válaszintézkedések részeként magasabb biztonsági elvárásokat támaszt a külső beszállítókkal szemben. Bár ez az incidens nem érintett bejelentkezési adatokat, a többfaktoros hitelesítés bekapcsolása továbbra is kritikus biztonsági intézkedés a fiókok jogosulatlan hozzáférés elleni védelme érdekében. Az eset rávilágít a harmadik fél szolgáltatókhoz kapcsolódó tartós biztonsági kockázatokra – még akkor is, ha a vállalat saját infrastruktúrája biztonságos marad.
---
Források:
1. https://openai.com/index/mixpanel-incident/
2. https://www.dqindia.com/news/openai-api-user-data-exposed-in-mixpanel-security-breach-10816218
3. https://securitybrief.com.au/story/data-breach-at-openai-through-analytics-provider-mixpanel-platform
