A OpenAI começou a informar alguns utilizadores que um ataque aos sistemas da Mixpanel expôs nomes, endereços de email e dados analíticos de contas na plataforma API.
A OpenAI confirmou que um acesso não autorizado aos sistemas da Mixpanel -parceiro usado para análises web da interface da sua plataforma API (platform.openai.com) -, resultou na exportação de um conjunto de dados que inclui nomes associados a contas, endereços de email, localização aproximada estimada por IP, tipo de sistema operativo e browser, páginas de referência e identificadores de organizações e utilizadores. A empresa afirma que o incidente ocorreu nos sistemas da Mixpanel e não nos seus próprios servidores.
“A transparência é importante para nós, por isso queremos informá-lo sobre um incidente de segurança recente na Mixpanel, um fornecedor de análises de dados que a OpenAI utilizou para análises web na interface frontend do nosso produto API (platform.openai.com). O incidente ocorreu nos sistemas da Mixpanel e envolveu dados analíticos limitados relacionados com a sua conta API. Esta não foi uma violação dos sistemas da OpenAI. Nenhum chat, pedidos de API, dados de utilização da API, palavras-passe, credenciais, chaves de API, detalhes de pagamento ou documentos de identificação governamentais foram comprometidos ou expostos. A 9 de novembro de 2025, a Mixpanel tomou conhecimento de que um atacante obteve acesso não autorizado a parte dos seus sistemas e exportou um conjunto de dados contendo informação identificável limitada de clientes e informação analítica. A Mixpanel notificou a OpenAI de que estava a investigar e, a 25 de novembro de 2025, partilhou connosco o conjunto de dados afetado.” Pode ler-se na mensagem enviada pela OpenAI aos utilizadores afetados.
A Mixpanel detetou esta intrusão a 9 de novembro de 2025 e partilhou o conjunto de dados afetado com a OpenAI, mais de duas semanas depois, a 25 de novembro, tendo esta começado agora a notificar os utilizadores dois dias depois. A OpenAI garante que não houve comprometimento de conversas com ChatGPT, pedidos de API, dados de utilização da API, palavras-passe, credenciais, chaves de API, detalhes de pagamento ou documentos de identificação governamentais. Não foi, no entanto, divulgada uma dimensão exata do número de contas afetadas.
À luz da situação, a OpenAI interrompeu temporariamente o recurso aos serviços da Mixpanel enquanto investiga o incidente e recomenda que os utilizadores se mantenham atentos a campanhas de phishing e outras estratégias que possam dar acesso e aproveitamento da informação exposta. A OpenAI também garante estar a rever as suas integrações e práticas de gestão de terceiros, algo que é novamente alvo de grande escrutínio, levantando questões sobre privacidade e responsabilidade em plataformas que gerem grandes volumes de dados pessoais e institucionais.
