Incident de securitate la OpenAI: Informații ale utilizatorilor ChatGPT compromise printr-un furnizor terț
OpenAI a anunțat recent că un incident grav de securitate, care a avut loc la un partener extern, Mixpanel, a dus la expunerea unor informații de profil asociate utilizatorilor serviciilor sale API. Conform comunicatului oficial, infrastructura OpenAI în sine nu a fost compromisă, astfel că utilizatorii serviciului popular ChatGPT nu au fost afectați direct. În urma acestui incident, compania a decis să rezilieze imediat colaborarea cu furnizorul implicat, subliniind importanța securității datelor în operațiunile lor.
Incidentul a fost detectat pe 9 noiembrie 2025, când Mixpanel a identificat un acces neautorizat la una dintre componentele infrastructurii sale. Pe 25 noiembrie, OpenAI a primit un fișier cu datele potențial expuse și a inițiat o evaluare independentă a incidentului. Aceasta a confirmat că expunerea a fost limitată strict mediului Mixpanel și că serverele proprii ale OpenAI nu au avut de suferit.
Conform declarațiilor oficiale, datele afectate se limitează la informații de profil considerate non-sensibile, cum ar fi numele de utilizator, adresele de e-mail, locația aproximativă, tipul de browser și sistemul de operare utilizat, site-urile de referință și identificatorii organizaționali sau de utilizator. OpenAI a confirmat că nu au fost compromise conversațiile utilizatorilor, cheile API, parolele sau datele de plată.
În urma incidentului, OpenAI a eliminat Mixpanel din lista de furnizori activi și a implementat măsuri suplimentare de securitate pentru toți partenerii, stabilind standarde mai stricte. Utilizatorii și administratorii afectați au fost notificați direct despre incident, subliniind transparența procesului.
Compania a subliniat că informațiile expuse ar putea fi utilizate în tentative de phishing sau atacuri de tip social engineering. Utilizatorilor li se recomandă precauție în fața mesajelor suspecte, de a verifica atent domeniile expeditorilor și să nu ofere parole, coduri sau chei API prin canale de tip e-mail, SMS sau chat, dat fiind că OpenAI nu solicită aceste informații prin asemenea metode. Activarea autentificării multifactor a fost, de asemenea, încurajată pentru a adăuga un alt strat de protecție.
Chiar și o expunere limitată de acest tip poate intensifica riscurile de atacuri asupra companiilor care utilizează API-urile OpenAI în diverse domenii, fie că este vorba despre ecommerce, marketing, suport clienți sau aplicații comerciale. OpenAI a subliniat că nu există dovezi că datele compromise ar fi fost folosite în mod abuziv și că nu este necesară schimbarea parolelor sau rotația cheilor API pentru utilizatori.
