Què cal saber sobre un incident recent de seguretat de Mixpanel

Aclariment del 19 de desembre de 2025: Estem actualitzant el blog per aclarir la descripció dels usuaris afectats. El blog original indicava que els «usuaris de l’API» estaven afectats. S’ha actualitzat per afegir-hi: «També va afectar un nombre limitat d’usuaris de ChatGPT que van enviar tiquets al centre d’ajuda o que havien iniciat sessió a platform.openai.com⁠(s'obre en una finestra nova).» Tots els usuaris afectats es van identificar i notificar alhora com a part de la comunicació original als usuaris. A part d’aquest aclariment, no ha canviat res més de la nostra comprensió de l’incident, inclòs el tipus d’informació implicada. 

La transparència és important per a nosaltres, així que us volem informar sobre un incident de seguretat recent a Mixpanel, un proveïdor d’analítica de dades que OpenAI utilitzava per a l’analítica web a la interfície frontal del nostre producte API (platform.openai.com⁠(s'obre en una finestra nova)). 

L’incident es va produir dins dels sistemes de Mixpanel i va implicar dades limitades d’analítica relacionades amb alguns usuaris de l’API. També va afectar un nombre limitat d’usuaris de ChatGPT que van enviar tiquets al centre d’ajuda o que havien iniciat sessió a platform.openai.com.

Això no va ser una bretxa dels sistemes d’OpenAI. No es van veure compromesos ni exposats xats, sol·licituds de l’API, dades d’ús de l’API, contrasenyes, credencials, claus d’API, dades de pagament ni identificacions governamentals.

Què va passar

El 9 de novembre de 2025, Mixpanel va detectar un atacant que havia obtingut accés no autoritzat a una part dels seus sistemes i havia exportat un conjunt de dades que contenia informació identificable limitada dels clients i informació analítica. Mixpanel va notificar a OpenAI que ho estava investigant i, el 25 de novembre de 2025, ens va compartir el conjunt de dades afectat. 

Què significa això per als usuaris afectats

La informació del perfil d’usuari associada a l’ús de platform.openai.com⁠(s'obre en una finestra nova) podria haver estat inclosa a les dades exportades de Mixpanel. La informació que podria haver-se vist afectada es limitava a:

• Nom que ens vau proporcionar al compte 
• Adreça electrònica associada al compte
• Ubicació aproximada i general basada en el navegador de l’usuari (ciutat, estat, país)
• Sistema operatiu i navegador utilitzats per accedir al compte
• Llocs web de referència
• Identificadors d’organització o d’usuari associats al compte

La nostra resposta  

Com a part de la nostra investigació de seguretat, hem retirat Mixpanel dels nostres serveis de producció, hem revisat els conjunts de dades afectats i estem treballant estretament amb Mixpanel i altres socis per entendre completament l’incident i el seu abast. Estem en procés de notificar directament les organitzacions, els administradors i els usuaris afectats. Tot i que no hem trobat cap evidència d’efectes en sistemes o dades fora de l’entorn de Mixpanel, continuem supervisant de prop qualsevol senyal de mal ús. 

La confiança, la seguretat i la privadesa són fonamentals per als nostres productes, la nostra organització i la nostra missió. Ens comprometem amb la transparència i estem notificant tots els clients i usuaris afectats. També exigim als nostres socis i proveïdors el nivell més alt de seguretat i privadesa per als seus serveis. Després de revisar aquest incident, OpenAI ha deixat d’utilitzar Mixpanel. 

Més enllà de Mixpanel, estem duent a terme revisions de seguretat addicionals i ampliades a tot el nostre ecosistema de proveïdors i estem elevant els requisits de seguretat per a tots els socis i proveïdors.

Què hauríeu de tenir en compte  

La informació que podria haver-se vist afectada aquí es podria utilitzar com a part d’atacs de phishing o d’enginyeria social contra vós o la vostra organització. 

Com que s’hi incloïen noms, adreces electròniques i metadades de l’API d’OpenAI (p. ex., identificadors d’usuari), us animem a mantenir-vos alerta davant d’intents de phishing o correu brossa amb aparença creïble. Com a recordatori:

• Tracteu amb cautela els correus electrònics o missatges inesperats, especialment si inclouen enllaços o fitxers adjunts.
• Comproveu dues vegades que qualsevol missatge que afirmi ser d’OpenAI s’hagi enviat des d’un domini oficial d’OpenAI.
• OpenAI no sol·licita contrasenyes, claus d’API ni codis de verificació per correu electrònic, missatge de text o xat.
• Protegiu encara més el vostre compte activant l’MFA⁠(s'obre en una finestra nova). 

La seguretat i la privadesa dels nostres productes són primordials, i ens mantenim ferms a protegir la vostra informació i a comunicar-nos amb transparència quan sorgeixen problemes. Gràcies per la vostra confiança continuada en nosaltres. 

OpenAI

PMF

Per què OpenAI feia servir Mixpanel?

• Mixpanel s’utilitzava com a proveïdor extern d’analítica web per ajudar-nos a entendre l’ús del producte i millorar els nostres serveis per al nostre producte API (platform.openai.com). Un nombre limitat d’usuaris de ChatGPT que van enviar tiquets a través del centre d’ajuda o que havien iniciat sessió a platform.openai.com podrien haver tingut la informació descrita més amunt registrada per Mixpanel. Aquests usuaris es van identificar en aquell moment i ja han estat notificats.

Això va ser causat per una vulnerabilitat als sistemes d’OpenAI?

• No. Aquest incident es va limitar als sistemes de Mixpanel i no va implicar accés no autoritzat a la infraestructura d’OpenAI.

Com sé si la meva organització o jo ens hem vist afectats?

• Estem en procés de notificar ara les persones afectades i ens posarem en contacte directament amb vós, o amb l’administrador de la vostra organització, per correu electrònic per informar-vos-en.

S’ha vist afectada alguna dada de la meva API, indicacions o sortides?

• No. El contingut del xat, les indicacions, les respostes o les dades d’ús de l’API no es van veure afectats.

S’han vist afectats els comptes de ChatGPT per això?

• Alguns usuaris de ChatGPT que van enviar tiquets a través del centre d’ajuda o que havien iniciat sessió a platform.api.com podrien haver-se vist afectats. Ja havien estat notificats anteriorment.

Es van exposar contrasenyes d’OpenAI, claus d’API o informació de pagament?

• No. Les contrasenyes d’OpenAI, les claus d’API, la informació de pagament, les identificacions governamentals i les credencials d’accés al compte no es van veure afectades. A més, hem confirmat que els segments de sessió, els segments d’autenticació i altres paràmetres sensibles dels serveis d’OpenAI no es van veure afectats.

He de restablir la contrasenya o rotar les meves claus d’API?

• Com que les contrasenyes i les claus d’API no es van veure afectades, no recomanem restabliments ni rotació de claus en resposta a aquest incident.

Què esteu fent per protegir la meva informació personal i la meva privadesa?

• Hem obtingut els conjunts de dades afectats per fer-ne una revisió independent i continuem investigant l’impacte potencial, a més de supervisar de prop qualsevol senyal de mal ús. Estem notificant tots els usuaris i organitzacions afectats individualment i estem en contacte amb Mixpanel sobre noves accions de resposta.

S’ha eliminat Mixpanel dels productes d’OpenAI?

• Sí. 

Hauria d’activar l’MFA per al meu compte?

• Sí. Tot i que les credencials o els segments del compte no es van veure afectats en aquest incident, com a bona pràctica de seguretat, recomanem que tots els usuaris activin l’MFA per protegir encara més els seus comptes. Per a empreses i organitzacions, recomanem que l’MFA estigui activada a la capa d’inici de sessió únic. 

Rebré més actualitzacions si canvia alguna cosa?

• Ens comprometem amb la transparència i us mantindrem informat si identifiquem informació nova que afecti de manera material els usuaris afectats. També actualitzarem aquestes PMF. 

Hi ha algú amb qui pugui posar-me en contacte si tinc preguntes?

• Si teniu preguntes, dubtes o problemes de seguretat, podeu contactar amb el nostre equip d’assistència a mixpanelincident@openai.com⁠.