OpenAI a anunțat că unele date de bază asociate utilizatorilor produselor sale de tip API au fost expuse în urma unui incident de securitate produs la un furnizor terț de analiză, Mixpanel. Compania precizează că sistemele OpenAI nu au fost compromise și că utilizatorii de ChatGPT nu au fost afectați, însă, în urma evaluării, a decis să înceteze complet colaborarea cu furnizorul implicat.
În 9 noiembrie 2025, Mixpanel a descoperit acces neautorizat într-o parte a infrastructurii sale, iar un set limitat de date a fost exportat. Pe 25 noiembrie, OpenAI a primit fișierul cu informațiile potențial afectate și a demarat verificările independente. Incidentul a fost izolat în mediul Mixpanel, fără acces la infrastructura OpenAI.
Ce tip de date ar fi putut fi expuse
Potrivit informărilor oficiale, este vorba exclusiv despre date de profil non-sensibile asociate conturilor care folosesc API-ul OpenAI, cum ar fi numele de pe cont, adresa de e-mail, o localizare aproximativă, sistemul de operare și browserul folosite, site-urile de referință și identificatori organizaționali sau de utilizator. OpenAI subliniază explicit că nu au fost compromise conversații, chei API, parole, date de plată sau documente de identitate.
OpenAI anunță că a eliminat Mixpanel din serviciile active și a pornit controale de securitate suplimentare pe întregul lanț de furnizori, ridicând standardele minime pentru parteneri. De asemenea, sunt notificați direct toți utilizatorii și administratorii potențial afectați.
Avertisment pentru utilizatori: atenție la phishing
Compania atrage atenția că astfel de date pot fi folosite în tentative de phishing sau inginerie socială. Recomandarea este să fiți vigilenți la mesaje care par legitime, să verificați domeniul expeditorului și să ignorați solicitările de parole, coduri sau chei API, pe care OpenAI nu le cere prin e-mail, SMS sau chat. Activarea autentificării multifactor este puternic încurajată.
OpenAI insistă că nu există indicii că datele ar fi fost folosite abuziv până acum și că incidentul nu a implicat acces la sistemele sale. De asemenea, nu este necesară resetarea parolelor sau rotația cheilor API, întrucât aceste informații nu au fost incluse în setul exportat.
Tot mai multe companii românești folosesc API-uri de inteligență artificială în aplicații comerciale, ecommerce, marketing sau suport clienți. Chiar și expuneri limitate pot crește riscul de atacuri de tip social engineering asupra firmelor sau dezvoltatorilor independenți, de aceea informarea rapidă și măsurile de prevenție sunt esențiale.
OpenAI promite că va reveni cu actualizări dacă apar informații noi și asigură că transparența și protecția datelor rămân o prioritate. Utilizatorii pot adresa întrebări echipei de suport dedicate incidentului, potrivit comunicatelor oficiale.
Comentează