Mitä tulisi tietää viimeaikaisesta Mixpanelin tietoturvahäiriöstä

19. joulukuuta 2025 tarkennus: Päivitämme blogia selventääksemme vaikutuksen kohteena olevien käyttäjien kuvausta. Alkuperäisessä blogissa todettiin, että vaikutus kohdistui ”API-käyttäjiin”. Blogia on päivitetty lisäämällä seuraava teksti: ”Se vaikutti myös rajoitettuun määrään ChatGPT‑käyttäjiä, jotka lähettivät tukikeskuksen tukipyyntöjä tai olivat kirjautuneet sisään sivustolla platform.openai.com⁠(avautuu uudessa ikkunassa).” Kaikki vaikutuksen kohteena olevat käyttäjät tunnistettiin ja heille ilmoitettiin asiasta samanaikaisesti osana alkuperäistä käyttäjille suunnattua tiedotusta. Tämän tarkennuksen lisäksi mikään muu käsityksessämme tapahtumasta, mukaan lukien siihen liittyvän tiedon tyyppi, ei ole muuttunut. 

Läpinäkyvyys on meille tärkeää. Siksi haluamme tiedottaa sinulle äskettäisestä tietoturvahäiriöstä Mixpanel-tietoanalytiikkapalveluntarjoajalla, jota OpenAI käytti verkkosivuston analytiikkaan API-tuotteemme käyttöliittymässä (platform.openai.com⁠(avautuu uudessa ikkunassa)). 

Tapahtuma sattui Mixpanelin järjestelmissä ja koski rajoitettua analytiikkadataa, joka liittyi joihinkin API:n käyttäjiin. Se vaikutti myös rajoitettuun määrään ChatGPT‑käyttäjiä, jotka lähettivät tukipyynnön tai olivat kirjautuneena sisään sivustolla platform.OpenAI.com.

Tämä ei ollut OpenAI:n järjestelmien tietoturvaloukkaus. Keskusteluja, API-pyyntöjä, API-käyttötietoja, salasanoja, tunnistetietoja, API-avaimia, maksutietoja tai valtion henkilötunnuksia ei vaarantunut eikä paljastunut.

Mitä tapahtui

9. marraskuuta 2025 Mixpanel sai tietää, että hyökkääjä oli saanut luvattoman pääsyn osaan heidän järjestelmistään ja vienyt tietokannan, joka sisälsi rajoitettua asiakastunnistettavaa tietoa ja analytiikkatietoa. Mixpanel ilmoitti OpenAI:lle, että se tutki asiaa, ja 25. marraskuuta 2025 se jakoi meille kyseisen tietojoukon. 

Mitä tämä tarkoittaa häiriön kohteeksi joutuneille käyttäjille

Käyttäjäprofiilitiedot, jotka liittyvät platform.openai.com⁠(avautuu uudessa ikkunassa) -sivuston käyttöön, saattoivat sisältyä Mixpanelista vietyihin tietoihin. Häiriön kohteeksi joutuneet tiedot rajoittuivat seuraaviin:

• Nimi, joka annettiin meille tilille. 
• Tiliin liitetty sähköpostiosoite
• Arvioitu karkea sijainti käyttäjän selaimen perusteella (kaupunki, osavaltio, maa)
• Käyttöjärjestelmä ja selain, joita käytetään tilille pääsyyn
• Viittaavat verkkosivustot
• Tiliin liittyvät organisaatio- tai käyttäjätunnukset

Vastauksemme  

Osana tietoturvatutkintaamme poistimme Mixpanelin tuotantopalveluistamme, tarkistimme asianomaiset tietojoukot ja teemme tiivistä yhteistyötä Mixpanelin ja muiden kumppaneiden kanssa ymmärtääksemme täysin tapahtuman ja sen laajuuden. Olemme parhaillaan ilmoittamassa asiasta suoraan asianomaisille organisaatioille, ylläpitäjille ja käyttäjille. Vaikka emme ole löytäneet todisteita vaikutuksista Mixpanelin ympäristön ulkopuolisiin järjestelmiin tai tietoihin, jatkamme tarkkaa seurantaa väärinkäytösten merkkien varalta. 

Luottamus, turvallisuus ja tietosuoja ovat tuotteidemme, organisaatiomme ja missiomme perusta. Olemme sitoutuneet läpinäkyvyyteen ja ilmoitamme kaikille vaikutuksen kohteena oleville asiakkaille ja käyttäjille. Vaadimme myös kumppaneiltamme ja toimittajiltamme, että heidän palvelunsa täyttävät korkeimmat tietoturva- ja tietosuojastandardit. Tarkasteltuaan tätä tapausta OpenAI on päättänyt lopettaa Mixpanelin käytön. 

Mixpanelin lisäksi suoritamme ylimääräisiä ja laajennettuja tietoturvatarkastuksia koko toimittajakumppaniverkostossamme ja tiukennamme tietoturvavaatimuksia kaikille kumppaneille ja toimittajille.

Mitä sinun tulisi ottaa huomioon  

Tässä tapauksessa vaarantuneita tietoja voidaan käyttää osana sinua tai organisaatiotasi vastaan suunnatuissa tietojenkalastelu- tai sosiaalisen manipuloinnin hyökkäyksissä. 

Koska nimet, sähköpostiosoitteet ja OpenAI API:n metatiedot (esim. käyttäjätunnukset) sisältyivät näihin tietoihin, kehotamme sinua olemaan varuillasi uskottavalta vaikuttavien tietojenkalasteluyritysten tai roskapostin varalta. Muistutuksena:

• Kohtele odottamattomia sähköposteja tai viestejä varoen, erityisesti jos ne sisältävät linkkejä tai liitteitä.
• Tarkista huolellisesti, että kaikki OpenAI:lta lähetetyt viestit on lähetetty viralliselta OpenAI-verkkotunnukselta.
• OpenAI ei pyydä salasanoja, API-avaimia tai vahvistuskoodeja sähköpostitse, tekstiviestillä tai keskustelun kautta.
• Paranna tilisi suojausta ottamalla käyttöön monivaiheinen tunnistautuminen⁠(avautuu uudessa ikkunassa). 

Tuotteidemme tietoturva ja tietosuoja ovat ensiarvoisen tärkeitä, ja olemme päättäväisiä suojellessamme tietojasi ja viestiessämme avoimesti, kun ongelmia ilmenee. Kiitos jatkuvasta luottamuksestasi. 

OpenAI

Yleisimmät kysymykset

Miksi OpenAI käytti Mixpanelia?

• Mixpanelia käytettiin kolmannen osapuolen verkkoanalytiikkapalveluntarjoajana auttamaan meitä ymmärtämään tuotteen käyttöä ja parantamaan OpenAI API -tuotteemme palveluja (platform.openai.com). Rajoitettu määrä ChatGPT‑käyttäjiä, jotka lähettivät tukipyyntöjä tukikeskuksen kautta tai olivat kirjautuneina sivustolle platform.openai.com, saattoivat joutua Mixpanelin kirjaamien edellä mainittujen tietojen kohteeksi. Nämä käyttäjät tunnistettiin tuolloin ja heille on jo ilmoitettu asiasta.

Johtuiko tämä OpenAI:n järjestelmien haavoittuvuudesta?

• Ei. Tämä tapaus rajoittui Mixpanelin järjestelmiin eikä siihen liittynyt luvatonta pääsyä OpenAI:n infrastruktuuriin.

Miten tiedän, vaikuttiko tämä organisaatiooni tai minuun?

• Ilmoittamme parhaillaan niille, joita asia koskee, ja otamme sinuun tai organisaatiosi ylläpitäjään suoraan yhteyttä sähköpostitse tiedottaaksemme asiasta.

Onko tämä vaikuttanut API-tietoihini, kehotteisiini tai tuotoksiini?

• Ei. Tämä ei vaikuttanut chat-sisältöön, kehotteisiin, vastauksiin tai API-käyttötietoihin.

Vaikuttiko tämä ChatGPT‑tileihin?

• Jotkut ChatGPT:n käyttäjät, jotka lähettivät tukipyyntöjä tukikeskuksen kautta tai olivat kirjautuneena sivustolle platform.openai.com, saattoivat olla vaikutuksen alaisena. Heille oli ilmoitettu aiemmin.

Paljastettiinko OpenAI-salasanoja, API-avaimia tai maksutietoja?

• Ei. OpenAI-salasanat, API-avaimet, maksutiedot, viralliset henkilötunnukset ja tilin käyttäjätunnukset eivät vaarantuneet. Lisäksi olemme varmistaneet, että OpenAI-palveluiden istuntotunnukset, todennustunnukset ja muut arkaluonteiset parametrit eivät ole vaarantuneet.

Pitääkö minun vaihtaa salasanani tai API-avaimeni?

• Koska salasanat ja API-avaimet eivät olleet vaarantuneet, emme suosittele salasanan tai avaimen vaihtamista tämän tapauksen vuoksi.

Mitä teette suojellaksenne henkilötietojani ja yksityisyyttäni?

• Olemme hankkineet riippumatonta tarkastelua varten vaikutusten kohteena olevat tietoaineistot ja jatkamme mahdollisen vaikutuksen tutkimista sekä seuraamme tarkasti väärinkäytön merkkejä. Ilmoitamme asiasta kaikille yksittäisille käyttäjille ja organisaatioille, joihin tämä vaikuttaa, ja olemme yhteydessä Mixpaneliin jatkotoimista.

Onko Mixpanel poistettu OpenAI:n tuotteista?

• Kyllä. 

Pitäisikö minun ottaa käyttöön monivaiheinen tunnistautuminen tililleni?

• Kyllä. Vaikka tilin tunnistetiedot tai tokenit eivät olleet vaarantuneet tässä tapauksessa, suosittelemme parhaana käytäntönä, että kaikki käyttäjät ottavat käyttöön monivaiheisen tunnistautumisen suojatakseen tilejään paremmin. Suosittelemme, että yrityksille ja organisaatioille otetaan käyttöön monivaiheinen tunnistautuminen (MFA) kertakirjautumisen (SSO) tasolla. 

Saanako lisäpäivityksiä, jos jotain muuttuu?

• Olemme sitoutuneet läpinäkyvyyteen ja pidämme sinut ajan tasalla, jos havaitsemme uutta tietoa, joka vaikuttaa olennaisesti asianomaisiin käyttäjiin. Päivitämme myös nämä yleisimmät kysymykset. 

Onko joku, johon voin ottaa yhteyttä, jos minulla on kysymyksiä?

• Jos sinulla on kysymyksiä, huolenaiheita tai turvallisuusongelmia, voit lähettää sähköpostia tukitiimillemme osoitteeseen mixpanelincident@openai.com⁠.