Yang perlu Anda ketahui tentang insiden keamanan Mixpanel baru-baru ini

Klarifikasi 19 Desember 2025: Kami memperbarui blog untuk memperjelas deskripsi pengguna yang terdampak. Blog asli menyatakan bahwa "pengguna API" terdampak. Telah diperbarui untuk menambahkan: "Ini juga memengaruhi sejumlah terbatas pengguna ChatGPT yang menyerahkan tiket ke pusat bantuan atau yang masuk ke platform.openai.com⁠(terbuka di jendela baru)." Semua pengguna yang terdampak telah diidentifikasi dan diberi tahu pada saat yang sama sebagai bagian dari komunikasi awal dengan pengguna. Selain klarifikasi ini, tidak ada yang berubah tentang pemahaman kami mengenai insiden tersebut, termasuk jenis informasi yang terlibat. 

Transparansi penting bagi kami, jadi kami ingin memberi tahu Anda tentang insiden keamanan terbaru di Mixpanel, penyedia analitik data yang digunakan OpenAI untuk analitik web pada antarmuka depan produk API kami (platform.openai.com⁠(terbuka di jendela baru)). 

Insiden tersebut terjadi dalam sistem Mixpanel dan melibatkan data analitik terbatas yang terkait dengan beberapa pengguna API. Ini juga memengaruhi sejumlah terbatas pengguna ChatGPT yang menyerahkan tiket ke pusat bantuan atau yang sedang masuk ke platform.OpenAI.com.

Ini bukanlah pelanggaran terhadap sistem OpenAI. Tidak ada obrolan, permintaan API, data penggunaan API, kata sandi, kredensial, kunci API, detail pembayaran, atau ID pemerintah yang disusupi atau terungkap.

Apa yang terjadi

Pada tanggal 9 November 2025, Mixpanel menyadari adanya penyerang yang mendapatkan akses tanpa izin ke sebagian sistem mereka dan mengekspor satu set data yang berisi informasi pelanggan yang dapat diidentifikasi secara terbatas dan informasi analitik. Mixpanel memberi tahu OpenAI bahwa mereka sedang melakukan penyelidikan, dan pada tanggal 25 November 2025, mereka membagikan dataset yang terpengaruh kepada kami. 

Apa arti hal ini bagi pengguna yang terdampak

Informasi profil pengguna yang terkait dengan penggunaan platform.openai.com⁠(terbuka di jendela baru) mungkin telah disertakan dalam data yang diekspor dari Mixpanel. Informasi yang mungkin telah terpengaruh terbatas pada:

• Nama yang diberikan kepada kami pada akun 
• Alamat email yang terkait dengan akun
• Perkiraan lokasi kasar berdasarkan browser pengguna (kota, negara bagian, negara)
• Sistem operasi dan browser yang digunakan untuk mengakses akun
• Situs web rujukan
• ID Organisasi atau Pengguna yang terkait dengan akun

Tanggapan kami  

Sebagai bagian dari investigasi keamanan kami, kami telah menghapus Mixpanel dari layanan produksi kami, meninjau dataset yang terpengaruh, dan bekerja sama dengan Mixpanel serta mitra lainnya untuk sepenuhnya memahami insiden dan cakupannya. Kami sedang dalam proses memberi tahu organisasi yang terdampak, admin, dan pengguna secara langsung. Meskipun kami tidak menemukan bukti adanya dampak pada sistem atau data di luar lingkungan Mixpanel, kami melanjutkan pemantauan dengan cermat untuk setiap tanda penyalahgunaan. 

Kepercayaan, keamanan, dan privasi adalah fondasi dari produk kami, organisasi kami, dan misi kami. Kami berkomitmen terhadap transparansi, dan sedang memberi tahu semua pelanggan dan pengguna yang terdampak. Kami juga menuntut mitra dan vendor kami untuk memenuhi standar tertinggi dalam hal keamanan dan privasi layanan mereka. Setelah meninjau insiden ini, OpenAI telah menghentikan penggunaan Mixpanel. 

Selain Mixpanel, kami sedang melakukan tinjauan keamanan tambahan dan diperluas di seluruh ekosistem vendor kami dan meningkatkan persyaratan keamanan untuk semua mitra dan vendor.

Apa yang harus Anda perhatikan  

Informasi yang mungkin telah terpengaruh di sini dapat digunakan sebagai bagian dari serangan phishing atau rekayasa sosial terhadap Anda atau organisasi Anda. 

Karena nama, alamat email, dan metadata API OpenAI (misalnya, ID pengguna) disertakan, kami mendorong Anda untuk tetap waspada terhadap upaya phishing atau spam yang tampak meyakinkan. Sebagai pengingat:

• Perlakukan email atau pesan yang tidak terduga dengan hati-hati, terutama jika menyertakan tautan atau lampiran.
• Periksa kembali bahwa setiap pesan yang mengaku berasal dari OpenAI dikirim dari domain resmi OpenAI.
• OpenAI tidak meminta kata sandi, kunci API, atau kode verifikasi melalui email, pesan teks, atau obrolan.
• Lindungi akun Anda lebih lanjut dengan mengaktifkan autentikasi multifaktor⁠(terbuka di jendela baru). 

Keamanan dan privasi produk kami adalah yang terpenting, dan kami tetap teguh dalam melindungi informasi Anda serta berkomunikasi secara transparan ketika masalah muncul. Terima kasih atas kepercayaan Anda yang terus berlanjut kepada kami. 

OpenAI

Pertanyaan Umum

Mengapa OpenAI menggunakan Mixpanel?

• Mixpanel digunakan sebagai penyedia analitik web pihak ketiga untuk membantu kami memahami penggunaan produk dan meningkatkan layanan kami untuk produk API kami (platform.openai.com). Sejumlah terbatas pengguna ChatGPT yang menyerahkan tiket melalui pusat bantuan atau yang masuk ke platform.openai.com mungkin telah memiliki informasi yang dijelaskan di atas dicatat oleh Mixpanel. Para pengguna ini telah diidentifikasi pada saat itu dan sudah diberi tahu.

Apakah ini disebabkan oleh kerentanan dalam sistem OpenAI?

• Tidak. Insiden ini terbatas pada sistem Mixpanel dan tidak melibatkan akses tanpa izin ke infrastruktur OpenAI.

Bagaimana cara mengetahui apakah organisasi saya atau saya terkena dampak?

• Kami sedang dalam proses memberi tahu mereka yang terdampak sekarang, dan kami akan menghubungi Anda, atau admin organisasi Anda, secara langsung melalui email untuk memberi tahu Anda.

Apakah ada data API, prompt, atau keluaran saya yang terpengaruh?

• Tidak. Konten obrolan, prompt, respons, atau data penggunaan API tidak terpengaruh.

Apakah akun ChatGPT terpengaruh oleh hal ini?

• Beberapa pengguna ChatGPT yang menyerahkan tiket melalui pusat bantuan atau yang masuk ke platform.api.com mungkin telah terpengaruh. Mereka telah diberi tahu sebelumnya.

Apakah kata sandi OpenAI, kunci API, atau informasi pembayaran terekspos?

• Tidak. Kata sandi OpenAI, kunci API, informasi pembayaran, identitas resmi, dan kredensial akses akun tidak terdampak. Selain itu, kami telah mengonfirmasi bahwa token sesi, token autentikasi, dan parameter sensitif lainnya untuk layanan OpenAI tidak terdampak.

Apakah saya perlu me-reset kata sandi saya atau mengganti Kunci API saya?

• Karena kata sandi dan Kunci API tidak terpengaruh, kami tidak merekomendasikan reset atau rotasi kunci sebagai respons terhadap insiden ini.

Apa yang Anda lakukan untuk melindungi informasi pribadi dan privasi saya?

• Kami telah memperoleh dataset yang terdampak untuk tinjauan independen dan sedang melanjutkan penyelidikan terhadap potensi dampak, serta memantau dengan cermat setiap tanda penyalahgunaan. Kami sedang memberi tahu semua pengguna dan organisasi yang terdampak secara individu dan sedang terhubung dengan Mixpanel mengenai tindakan respons lebih lanjut.

Apakah Mixpanel telah dihapus dari produk OpenAI?

• Ya. 

Haruskah saya mengaktifkan autentikasi multifaktor untuk akun saya?

• Ya. Meskipun kredensial akun atau token tidak terpengaruh dalam insiden ini, sebagai langkah pengendalian keamanan terbaik, kami menyarankan semua pengguna untuk mengaktifkan autentikasi multifaktor guna melindungi akun mereka lebih lanjut. Untuk perusahaan dan organisasi, kami menyarankan agar MFA diaktifkan pada lapisan Single Sign-On (SSO). 

Apakah saya akan menerima pembaruan lebih lanjut jika ada perubahan?

• Kami berkomitmen terhadap transparansi dan akan terus memberi Anda informasi jika kami mengidentifikasi informasi baru yang secara material memengaruhi pengguna yang terdampak. Kami juga akan memperbarui Pertanyaan Umum ini. 

Apakah ada seseorang yang bisa saya hubungi jika saya memiliki pertanyaan?

• Jika Anda memiliki pertanyaan, kekhawatiran, atau masalah keamanan, Anda dapat menghubungi Team dukungan kami di mixpanelincident@openai.com⁠.