Dette skal du vide om en nylig sikkerhedshændelse hos Mixpanel

Præcisering fra 19. december 2025: Vi opdaterer bloggen for at præcisere beskrivelsen af de berørte brugere. Den oprindelige blog angav, at "API-brugere" var berørt. Det er blevet opdateret til at tilføje: "Det påvirkede også et begrænset antal ChatGPT‑brugere, der indsendte billetter til hjælpecenteret eller var logget ind på platform.openai.com⁠(åbner i et nyt vindue)." Alle berørte brugere blev identificeret og underrettet samtidig som en del af den oprindelige kontakt til brugerne. Bortset fra denne præcisering er der intet andet ved vores forståelse af hændelsen, herunder typen af involveret information, der har ændret sig. 

Gennemsigtighed er vigtigt for os, så vi vil informere dig om en nylig sikkerhedshændelse hos Mixpanel, en dataanalyseudbyder, som OpenAI brugte til webanalyse på frontend-grænsefladen for vores API-produkt (platform.openai.com⁠(åbner i et nyt vindue)). 

Hændelsen fandt sted inden for Mixpanels systemer og involverede begrænsede analysedata relateret til nogle brugere af API'en. Det påvirkede også et begrænset antal ChatGPT‑brugere, der indsendte supportbilletter eller var logget ind på platform.openai.com.

Dette var ikke et brud på OpenAI’s systemer. Ingen chat, API-anmodninger, API-brugsdata, adgangskoder, legitimationsoplysninger, API-nøgler, betalingsoplysninger eller offentlige ID'er blev kompromitteret eller eksponeret.

Hvad skete der?

Den 9. november 2025 blev Mixpanel opmærksom på en hacker, der fik uautoriseret adgang til en del af deres systemer og eksporterede et datasæt, der indeholdt begrænsede kundeidentificerbare oplysninger og analyseoplysninger. Mixpanel informerede OpenAI om, at de undersøgte sagen, og den 25. november 2025 delte de det berørte datasæt med os. 

Hvad dette betyder for de berørte brugere

Brugerprofiloplysninger tilknyttet brugen af platform.openai.com⁠(åbner i et nyt vindue) kan være blevet inkluderet i data eksporteret fra Mixpanel. De oplysninger, der muligvis er blevet påvirket, var begrænset til:

• Navnet, der blev oplyst til os på kontoen 
• E-mailadresse tilknyttet kontoen
• Omtrentlig grov placering baseret på brugerens browser (by, stat, land)
• Operativsystem og browser brugt til at få adgang til kontoen
• Henvisende websites
• Organisationer eller bruger-ID'er tilknyttet kontoen

Vores svar  

Som en del af vores sikkerhedsundersøgelse har vi fjernet Mixpanel fra vores produktionsservices, gennemgået de berørte datasæt og arbejder tæt sammen med Mixpanel og andre partnere for fuldt ud at forstå hændelsen og dens omfang. Vi er i gang med at underrette de berørte organisationer, administratorer og brugere direkte. Selvom vi ikke har fundet beviser for påvirkning på systemer eller data uden for Mixpanels miljø, fortsæt vi med at overvåge nøje for tegn på misbrug. 

Tillid, sikkerhed og privatliv er grundlæggende for vores produkter, vores organisation og vores mission. Vi er forpligtet til gennemsigtighed og informerer alle berørte kunder og brugere. Vi holder også vores partnere og leverandører ansvarlige for de højeste standarder for sikkerhed og privatliv i deres tjenester. Efter at have gennemgået denne hændelse har OpenAI opsagt sin brug af Mixpanel. 

Udover Mixpanel foretager vi yderligere og udvidede sikkerhedsgennemgange på tværs af vores leverandørøkosystem og skærper sikkerhedskravene for alle partnere og leverandører.

Hvad du skal huske på  

De oplysninger, der muligvis er blevet påvirket her, kan bruges som en del af phishing- eller social engineering-angreb mod dig eller din organisation. 

Da navne, e-mailadresser og OpenAI API-metadata (f.eks. bruger-ID'er) var inkluderet, opfordrer vi dig til at være opmærksom over for troværdige phishingforsøg eller spam. Som en påmindelse:

• Behandl uventede e-mails eller beskeder med forsigtighed, især hvis de indeholder links eller vedhæftede filer.
• Dobbelt-tjek, at enhver besked, der hævder at være fra OpenAI, er sendt fra et officielt OpenAI-domæne.
• OpenAI beder ikke om adgangskoder, API-nøgler eller verifikationskoder via e-mail, tekst eller chat.
• Beskyt din konto yderligere ved at aktivere multifaktorgodkendelse⁠(åbner i et nyt vindue). 

Sikkerheden og privatlivets fred for vores produkter er altafgørende, og vi forbliver beslutsomme på at beskytte dine oplysninger og kommunikere gennemsigtigt, når der opstår problemer. Tak for din fortsatte tillid til os. 

OpenAI

FAQ

Hvorfor brugte OpenAI Mixpanel?

• Mixpanel blev brugt som en tredjeparts webanalyseudbyder til at hjælpe os med at forstå produktbrug og forbedre vores tjenester til vores API-produkt (platform.openai.com) Et begrænset antal ChatGPT‑brugere, der indsendte billetter gennem hjælpecenteret eller var logget ind på platform.openai.com, kan have fået de ovenfor beskrevne oplysninger logget af Mixpanel. Disse brugere blev identificeret på det tidspunkt og er allerede blevet underrettet.

Var dette forårsaget af en sårbarhed i OpenAI's systemer?

• Nej. Denne hændelse var begrænset til Mixpanels systemer og involverede ikke uautoriseret adgang til OpenAI's infrastruktur.

Hvordan ved jeg, om min organisation eller jeg blev påvirket?

• Vi er i gang med at underrette de berørte nu, og vi vil kontakte dig eller din organisationsadministrator direkte via e-mail for at informere dig.

Blev nogle af mine API-data, forespørgsler eller outputs påvirket?

• Nej. chatindhold, forespørgsler, svar eller API-brugsdata blev ikke påvirket.

Blev ChatGPT‑konti påvirket af dette?

• Nogle brugere af ChatGPT, der indsendte forespørgsler gennem hjælpecenteret eller var logget ind på platform.api.com, kan være blevet påvirket. De var blevet informeret tidligere.

Blev OpenAI-adgangskoder, API-nøgler eller betalingsoplysninger afsløret?

• Nej. OpenAI-adgangskoder, API-nøgler, betalingsoplysninger, offentlige ID'er og konto-legitimationsoplysninger blev ikke påvirket. Derudover har vi bekræftet, at session-tokens, autentificeringstokens og andre følsomme parametre for OpenAI-tjenester ikke blev påvirket.

Skal jeg nulstille min adgangskode eller rotere mine API-nøgler?

• Da adgangskoder og API-nøgler ikke blev påvirket, anbefaler vi ikke nulstillinger eller nøglerotation som reaktion på denne hændelse.

Hvad gør I for at beskytte mine personlige oplysninger og mit privatliv?

• Vi har indhentet de berørte datasæt til uafhængig gennemgang og fortsætter med at undersøge den potentielle påvirkning og overvåger nøje for tegn på misbrug. Vi underretter alle individuelt berørte brugere og organisationer og er i kontakt med Mixpanel om yderligere handlinger.

Er Mixpanel blevet fjernet fra OpenAI-produkter?

• Ja. 

Skal jeg aktivere multifaktorgodkendelse for min konto?

• Ja. Selvom kontoens legitimationsoplysninger eller tokens ikke blev påvirket i denne hændelse, anbefaler vi som en bedste praksis for sikkerhedskontrol, at alle brugere aktiverer multifaktor-godkendelse for at beskytte deres konti yderligere. For virksomheder og organisationer anbefaler vi, at MFA aktiveres på enkeltlogin-laget. 

Vil jeg få flere opdateringer, hvis noget ændrer sig?

• Vi er forpligtet til gennemsigtighed og vil holde dig informeret, hvis vi identificerer nye oplysninger, der væsentligt påvirker de berørte brugere. Vi vil også opdatere denne FAQ. 

Er der nogen, jeg kan kontakte, hvis jeg har spørgsmål?

• Hvis du har spørgsmål, bekymringer eller sikkerhedsproblemer, kan du kontakte vores supportteam på mixpanelincident@openai.com⁠.