Wissenswertes über einen kürzlichen Sicherheitsvorfall bei Mixpanel

Klarstellung vom 19. Dezember 2025: Wir aktualisieren den Blogeintrag, um die Beschreibung der betroffenen Benutzer:innen zu präzisieren. Im ursprünglichen Blog wurde angegeben, dass „API-Benutzer:innen“ betroffen waren. Dies wurde dahingehend ergänzt: „Zudem war eine begrenzte Anzahl von ChatGPT‑Benutzer:innen betroffen, die Tickets über das Hilfecenter eingereicht haben oder bei platform.openai.com⁠(wird in einem neuen Fenster geöffnet) angemeldet waren.“ Alle betroffenen Benutzer:innen wurden zum selben Zeitpunkt im Rahmen der ursprünglichen Kontaktaufnahme identifiziert und benachrichtigt. Abgesehen von dieser Klarstellung hat sich nichts an unserem Verständnis des Vorfalls geändert, einschließlich der Art der betroffenen Informationen. 

Transparenz ist uns wichtig. Daher möchten wir dich über einen kürzlichen Sicherheitsvorfall bei Mixpanel informieren, einem Datenanalyseanbieter, den OpenAI für Webanalysen auf der Frontend-Oberfläche unseres API-Produkts (platform.openai.com⁠(wird in einem neuen Fenster geöffnet)) verwendet hat. 

Der Vorfall ereignete sich innerhalb der Systeme von Mixpanel und betraf begrenzte Analysedaten in Bezug auf einige API-Benutzer:innen. Zudem war eine begrenzte Anzahl von ChatGPT‑Benutzer:innen betroffen, die Tickets über das Hilfecenter eingereicht haben oder bei platform.openai.com angemeldet waren.

Es handelte sich hierbei nicht um einen Verstoß gegen die Systeme von OpenAI. Keine Chats, API-Anfragen, API-Nutzungsdaten, Passwörter, Zugangsdaten, API-Schlüssel, Zahlungsinformationen oder amtliche Ausweise wurden kompromittiert oder offengelegt.

Was ist passiert?

Am 9. November 2025 wurde Mixpanel auf einen Angreifer aufmerksam, der unbefugten Zugriff auf Teile ihrer Systeme erlangte und einen Datensatz exportierte, der eingeschränkte kundenidentifizierbare Informationen und Analysedaten enthielt. Mixpanel informierte OpenAI über die laufenden Untersuchungen und stellte uns am 25. November 2025 den betroffenen Datensatz zur Verfügung. 

Was bedeutet das für betroffene Benutzer:innen?

Mit der Nutzung von platform.openai.com⁠(wird in einem neuen Fenster geöffnet) verbundene Informationen zu Benutzerprofilen wurden möglicherweise in die aus Mixpanel exportierten Daten aufgenommen. Die möglicherweise betroffenen Informationen beschränkten sich auf Folgendes:

• Der uns im Konto bereitgestellte Name 
• Die mit dem Konto verknüpfte E-Mail-Adresse
• Ungefährer grober Standort basierend auf dem Browser der Benutzer:innen (Stadt, Bundesland, Land)
• Für den Zugriff auf das Konto verwendetes Betriebssystem und der verwendete Browser
• Verweisende Websites
• Mit dem Konto verknüpfte Unternehmen- oder Benutzer-IDs

Unsere Antwort  

Im Rahmen unserer Sicherheitsuntersuchung haben wir Mixpanel aus unseren Produktionsdiensten entfernt, die betroffenen Datensätze überprüft und arbeiten eng mit Mixpanel und anderen Partnern zusammen, um den Vorfall und seinen Umfang vollständig zu verstehen. Wir sind dabei, betroffene Unternehmen, Admins und Benutzer:innen direkt zu benachrichtigen. Obwohl wir keine Hinweise auf Auswirkungen auf Systeme oder Daten außerhalb der Umgebung von Mixpanel gefunden haben, überwachen wir weiter genau auf Anzeichen von Missbrauch. 

Vertrauen, Sicherheit und Datenschutz sind grundlegend für unsere Produkte, unser Unternehmen und unsere Mission. Wir sind der Transparenz verpflichtet und benachrichtigen alle betroffenen Kund:innen und Benutzer:innen. Wir verpflichten auch unsere Partner und Lieferanten zur Einhaltung höchster Standards bei der Sicherheit und dem Datenschutz ihrer Dienste. Nach der Überprüfung dieses Vorfalls hat OpenAI die Nutzung von Mixpanel beendet. 

Über Mixpanel hinaus führen wir zusätzliche und erweiterte Sicherheitsüberprüfungen in unserem Anbieter-Ökosystem durch und erhöhen die Sicherheitsanforderungen für alle Partner und Anbieter.

Was du beachten solltest  

Die Informationen, die hier möglicherweise betroffen waren, könnten als Teil von Phishing- oder Social-Engineering-Angriffen gegen dich oder dein Unternehmen verwendet werden. 

Da Namen, E-Mail-Adressen und API-Metadaten von OpenAI (z. B. Benutzer-IDs) enthalten waren, empfehlen wir dir, weiterhin besonders auf glaubwürdig wirkende Phishing-Versuche oder Spam zu achten. Zur Erinnerung:

• Behandle unerwartete E-Mails oder Nachrichten mit Vorsicht, besonders wenn sie Links oder Anhänge enthalten.
• Überprüfe, ob jede Nachricht, die vorgibt, von OpenAI zu stammen, von einer offiziellen OpenAI-Domain gesendet wurde.
• OpenAI fordert keine Passwörter, API-Schlüssel oder Verifizierungscodes per E-Mail, Textnachricht oder Chat an.
• Schütze dein Konto weiter, indem du die Multifaktor-Authentifizierung⁠(wird in einem neuen Fenster geöffnet) aktivierst. 

Die Sicherheit und der Datenschutz unserer Produkte haben oberste Priorität. Daher verpflichten wir uns weiterhin dem Schutz deiner Daten und einer transparenten Kommunikation bei auftretenden Problemen. Vielen Dank für dein weiteres Vertrauen in uns. 

OpenAI

FAQ

Warum hat OpenAI Mixpanel verwendet?

• Mixpanel wurde als externer Webanalyse-Dienstleister eingesetzt, um die Nutzung unseres API-Produkts (platform.openai.com) zu analysieren und unsere Dienstleistungen zu verbessern. Eine begrenzte Anzahl von ChatGPT‑Benutzer:innen, die Tickets über das Hilfecenter eingereicht haben oder bei platform.openai.com angemeldet waren, könnte von der oben beschriebenen Datenerfassung durch Mixpanel betroffen gewesen sein. Die betroffenen Benutzer:innen wurden zum Zeitpunkt des Vorfalls identifiziert und bereits benachrichtigt.

Ist die Ursache eine Schwachstelle in den Systemen von OpenAI?

• Nein. Dieser Vorfall beschränkte sich auf die Systeme von Mixpanel und beinhaltete keinen unbefugten Zugriff auf die OpenAI-Infrastruktur.

Woran erkenne ich, ob mein Unternehmen oder ich betroffen sind?

• Wir benachrichtigen derzeit die Betroffenen und werden dich oder den Admin deines Unternehmens direkt per E-Mail informieren.

Waren meine API-Daten, Prompts oder Outputs davon betroffen?

• Nein. Chat-Inhalte, Prompts, Antworten oder API-Nutzungsdaten waren nicht betroffen.

Waren ChatGPT‑Konten davon betroffen?

• Einige Benutzer:innen von ChatGPT, die Tickets über das Hilfecenter abgesendet haben oder bei platform.api.com eingeloggt waren, könnten betroffen gewesen sein. Sie waren bereits zuvor benachrichtigt worden.

Wurden OpenAI-Passwörter, API-Schlüssel oder Zahlungsinformationen offengelegt?

• Nein. OpenAI-Passwörter, API-Schlüssel, Zahlungsinformationen, staatliche Ausweise und Konto-Zugangsdaten waren nicht betroffen. Zusätzlich haben wir bestätigt, dass Sitzungstoken, Authentifizierungstoken und andere sensible Parameter für OpenAI-Dienste nicht betroffen waren.

Muss ich mein Passwort zurücksetzen oder meine API-Schlüssel erneuern?

• Da Passwörter und API-Schlüssel nicht betroffen waren, empfehlen wir kein Zurücksetzen oder keine Schlüsselrotation als Reaktion auf diesen Vorfall.

Was tut ihr, um meine persönlichen Informationen und meine Privatsphäre zu schützen?

• Wir haben die betroffenen Datensätze für eine unabhängige Überprüfung erhalten und untersuchen weiter potenzielle Auswirkungen. Wir überwachen genau auf Anzeichen von Missbrauch. Wir benachrichtigen alle individuell betroffenen Benutzer:innen und Unternehmen und stehen in Kontakt mit Mixpanel, um weitere Maßnahmen zu besprechen.

Wurde Mixpanel aus den OpenAI-Produkten entfernt?

• Ja. 

Sollte ich die Multifaktor-Authentifizierung für mein Konto aktivieren?

• Ja. Obwohl Zugangsdaten oder Token bei diesem Vorfall nicht betroffen waren, empfehlen wir als bewährte Sicherheitsmaßnahme allen Benutzer:innen die Aktivierung der Multifaktor-Authentifizierung, um ihre Konten weiter zu schützen. Für Unternehmen und Organisationen empfehlen wir die Aktivierung von MFA auf der Single-Sign-On-Ebene. 

Erhalte ich weitere Updates über etwaige Änderungen?

• Wir verpflichten uns zu Transparenz und werden dich auf dem Laufenden halten, sobald wir neue Informationen erhalten, die für betroffene Benutzer:innen von Bedeutung sind. Wir werden auch diese FAQ aktualisieren. 

An wen kann ich mich bei Fragen wenden?

• Bei Fragen, Bedenken oder Sicherheitsproblemen erreichst du unser Support-Team unter mixpanelincident@openai.com⁠.