OpenAI сообщила о инциденте безопасности, связанном с внешним провайдером аналитики Mixpanel, в результате которого была раскрыта ограниченная информация о некоторых пользователях API. Компания заявила, что её собственные системы не были скомпрометированы, а данные пользователей ChatGPT не пострадали. По данным OpenAI, проблема возникла внутри среды Mixpanel: злоумышленник получил доступ к внутренним системам и экспортировал набор данных. OpenAI была уведомлена о нарушении и получила затронутые данные 25 ноября 2025 года.
В утёкшей информации содержались базовые профили, привязанные к аккаунтам API: имена, адреса электронной почты, примерное географическое расположение, сведения об используемых устройствах и браузерах, а также некоторые идентификаторы аккаунтов. Компания подчеркнула, что в раскрытых материалах не было журналов чатов, подсказок, паролей, ключей API, платёжных данных или другой чувствительной информации, способной напрямую скомпрометировать аккаунт. OpenAI отметила, что такие аналитические метаданные обычно применяются для понимания использования продуктов, но их всё равно можно использовать для фишинговых атак.
В ответ на инцидент OpenAI отключила Mixpanel от всех производственных сервисов и прекратит дальнейшее использование этой платформы. Компания инициировала прямые обращения к каждому затронутому пользователю, администратору и организации. OpenAI подчеркнула, что доверие и конфиденциальность являются ключевыми принципами её деятельности и ожидает от партнёров соответствующих стандартов безопасности.
После инцидента компания расширяет проверку третьих сторон и планирует значительно ужесточить требования к безопасности для всех внешних поставщиков. Несмотря на ограниченный объём утёкших данных, OpenAI призывает пользователей сохранять бдительность, поскольку адреса электронной почты в сочетании с идентификаторами API могут быть использованы для создания правдоподобных фишинговых сообщений. Компания рекомендовала скептически относиться к неожиданным сообщениям, требующим перехода по ссылкам или загрузки вложений.
OpenAI также напомнила, что никогда не будет запрашивать пароли, ключи API или коды подтверждения по электронной почте, SMS или в чатах, и поощрила включение многофакторной аутентификации для дополнительной защиты. Случай с Mixpanel служит очередным напоминанием о рисках, связанных с экосистемой третьих лиц, и необходимости усиленного контроля за инструментами аналитики и обработчиками данных в условиях взаимосвязанной цифровой среды.
Комментариев