Компания OpenAI сообщила о компрометации стороннего аналитического сервиса Mixpanel, который использовался для отслеживания действий пользователей во фронтенд-части продукта, работающего на API OpenAI. Из-за атаки произошла утечка данных части клиентов.
Согласно официальному заявлению OpenAI, инцидент коснулся только данных пользователей API, а обычные пользователи ChatGPT и других сервисов компании не пострадали.
«Это не взлом систем OpenAI. Никакие чаты, API-запросы, данные об использовании API, пароли, ключи доступа, платежные реквизиты или удостоверения личности не были скомпрометированы», — подчеркивают в компании.
В свою очередь представители Mixpanel подтверждают, что атака затронула ограниченное число клиентов, которых уже уведомили о случившемся.
Хотя никакой технической информации о взломе не раскрывается, известно, что он стал результатом смишинговой кампании (фишинг через SMS), которую обнаружили 9 ноября 2025 года. При этом OpenAI сообщили о компрометации и проводящемся расследовании только 25 ноября, также предоставив детали о скомпрометированных данных.
Известно, что утечка могла затронуть следующую информацию:
- имя, указанное в API-аккаунте;
- email, связанный с API-аккаунтом;
- примерное местоположение на основе данных браузера (город, регион, страна);
- ОС и браузер, используемые для доступа к API;
- реферальные сайты;
- ID организации или пользователя, привязанные к API-аккаунту.
После атаки Mixpanel обезопасила пострадавшие аккаунты, отозвала активные сессии и логины, произвела сброс скомпрометированных учетных данных, заблокировала IP-адреса атакующих и сбросила пароли для всех сотрудников. Также подчеркивается, что компания внедрила дополнительные меры безопасности, чтобы предотвратить подобные инциденты в будущем.
Поскольку конфиденциальные учетные данные не были раскрыты, пользователям OpenAI не нужно сбрасывать пароли или заново генерировать API-ключи.
OpenAI уже проводит расследование инцидента, чтобы установить полный масштаб произошедшего. В качестве меры предосторожности Mixpanel был полностью удален из всех сервисов компании.
Хотя в OpenAI подчеркивают, что пострадали только клиенты API, компания разослала уведомления об инциденте всем подписчикам. Так как похищенные данные могут быть использованы для фишинга и социальной инженерии, в компании призывают пользователей сохранять бдительность.
Также представители OpenAI рекомендуют использовать двухфакторную аутентификацию (2FA) и напоминают, что нельзя отправлять пароли, API-ключи или коды верификации по email, в SMS или через чаты.
Стоит отметить, что в результате взлома Mixpanel также пострадала CoinTracker — платформа для отслеживания криптовалютного портфеля и налогообложения. Представители CoinTracker предупредили, что в их случае утечка тоже затронула метаданные устройств и коснулась ограниченного числа транзакций.
