Chiarimento del 19 dicembre 2025: stiamo aggiornando il blog per chiarire la descrizione degli utenti interessati. Il blog originale affermava che erano coinvolti gli "utenti dell'API". Il testo è stato aggiornato con l'aggiunta di: "Ha anche interessato un numero limitato di utenti di ChatGPT che hanno inviato una richiesta al centro assistenza o erano connessi a platform.openai.com(si apre in una nuova finestra)". Tutti gli utenti interessati sono stati identificati e avvisati contemporaneamente nell'ambito della comunicazione originale con gli utenti. A parte questo chiarimento, nulla è cambiato nella nostra comprensione dell'incidente, incluso il tipo di informazioni coinvolte.
Per noi la trasparenza è importante, quindi vogliamo informarti sul recente incidente di sicurezza che ha coinvolto Mixpanel, un fornitore di analisi dei dati che OpenAI ha utilizzato per l'analisi web sull'interfaccia frontend del nostro prodotto API (platform.openai.com(si apre in una nuova finestra)).
L'incidente ha coinvolto i sistemi di Mixpanel, in particolare dati di analisi limitati relativi ad alcuni utenti dell'API. Ha anche interessato un numero limitato di utenti di ChatGPT che hanno inviato una richiesta al centro assistenza o erano connessi a platform.openai.com.
Non vi è stata alcuna violazione dei sistemi di OpenAI. Le chat, le richieste API, i dati di utilizzo dell'API, le password, le credenziali, le chiavi API, i dati di pagamento e i documenti d'identità ufficiali non sono stati compromessi né esposti.
Cos'è successo
Il 9 novembre 2025 Mixpanel è venuta a conoscenza di un aggressore che ha ottenuto l'accesso non autorizzato a parte dei suoi sistemi ed ha esportato un dataset contenente dati identificativi limitati dei clienti e informazioni analitiche. Mixpanel ha informato OpenAI che stavano conducendo un'indagine e il 25 novembre 2025 ha condiviso con noi il dataset interessato.
Cosa significa per gli utenti coinvolti
Le informazioni del profilo utente associate all'uso di platform.openai.com(si apre in una nuova finestra) potrebbero essere state incluse nei dati esportati da Mixpanel. Le informazioni che potrebbero essere state compromesse erano limitate a:
- Nome che ci è stato fornito per l'account
- Indirizzo e-mail associato all'account
- Luogo approssimativo e generico basato sul browser dell'utente (città, regione, nazione)
- Sistema operativo e browser utilizzati per accedere all'account
- Siti web di riferimento
- ID dell'organizzazione o dell'utente associati all'account
La nostra risposta
Nel quadro della nostra indagine di sicurezza, abbiamo rimosso Mixpanel dai nostri servizi di produzione, esaminato i dataset interessati e stiamo collaborando strettamente con Mixpanel e altri partner per comprendere appieno l'incidente e la sua portata. Stiamo avvisando direttamente le organizzazioni, gli amministratori e gli utenti interessati. Anche se non abbiamo trovato alcuna prova di effetti sui sistemi o sui dati al di fuori dell'ambiente di Mixpanel, continuiamo a monitorare attentamente per individuare qualsiasi segno di uso improprio.
La fiducia, la sicurezza e la privacy sono fondamentali per i nostri prodotti, la nostra organizzazione e la nostra missione. Ci impegniamo per garantire la trasparenza e stiamo informando tutti i clienti e gli utenti coinvolti. Inoltre richiediamo ai nostri partner e fornitori di rispettare i più elevati standard di sicurezza e privacy nell'erogazione dei loro servizi. Dopo aver esaminato questo incidente, OpenAI ha interrotto l'uso di Mixpanel.
Oltre a Mixpanel, stiamo conducendo ulteriori e più approfondite verifiche di sicurezza all'interno del nostro ecosistema di fornitori e stiamo inasprendo i requisiti di sicurezza per tutti i partner e i fornitori.
Cosa tenere a mente
Le informazioni che potrebbero essere state compromesse qui potrebbero essere utilizzate in attacchi di phishing o di ingegneria sociale contro di te o la tua organizzazione.
Poiché sono stati interessati nomi, gli indirizzi e-mail e metadati dell'API OpenAI (ad esempio, ID utente), ti invitiamo a rimanere vigile nei confronti di tentativi di phishing o spam che sembrano credibili. Ricorda sempre:
- Tratta con cautela le e-mail o i messaggi inattesi, soprattutto se includono link o allegati.
- Controlla attentamente che ogni messaggio che sostiene di provenire da OpenAI sia inviato da un dominio ufficiale di OpenAI.
- OpenAI non richiede password, chiavi API o codici di verifica tramite e-mail, messaggi di testo o chat.
- Proteggi ulteriormente il tuo account abilitando l'autenticazione a più fattori(si apre in una nuova finestra).
La sicurezza e la privacy dei nostri prodotti sono fondamentali e rimaniamo determinati a proteggere le tue informazioni e a comunicarti in tutta trasparenza l'eventuale insorgenza di problemi. Grazie per la fiducia continua che riponi in noi.
OpenAI
FAQ
Perché OpenAI ha utilizzato Mixpanel?
- Mixpanel è stato utilizzato come fornitore di analisi web di terze parti per aiutarci a comprendere l'utilizzo del prodotto e migliorare i servizi per il nostro prodotto API (platform.openai.com). È possibile che le informazioni sopra elencate di un numero limitato di utenti di ChatGPT che hanno inviato una richiesta tramite il centro assistenza o che erano connessi a platform.openai.com fossero in possesso di Mixpanel. Questi utenti sono stati identificati subito e sono già stati avvisati.
L'incidente è stato causato da una vulnerabilità nei sistemi di OpenAI?
- No. Questo incidente è stato limitato ai sistemi di Mixpanel e non ha comportato accessi non autorizzati all'infrastruttura di OpenAI.
Come faccio a sapere se io o la mia organizzazione siamo stati coinvolti?
- Stiamo attualmente avvisando i soggetti coinvolti e contatteremo direttamente te o l'amministratore della tua organizzazione tramite e-mail per informarti.
Qualcuno dei miei dati API, prompt od output è stato compromesso?
- No. I contenuti della chat, i prompt, le risposte e i dati di utilizzo delle API non sono stati coinvolti.
Gli account di ChatGPT sono stati coinvolti dall'incidente?
- Alcuni utenti di ChatGPT che hanno inviato una richiesta tramite il centro assistenza o che erano connessi a platform.api.com potrebbero essere stati coinvolti. Questi utenti erano già stati avvisati.
Le password di OpenAI, le chiavi API e le informazioni di pagamento sono state esposte?
- No. Le password di OpenAI, le chiavi API, le informazioni di pagamento, i documenti d'identità ufficiali e le credenziali di accesso all'account non sono stati compromessi. Inoltre, abbiamo confermato che i token di sessione, i token di autenticazione e altri parametri sensibili per i servizi di OpenAI non sono stati compromessi.
Devo reimpostare la mia password o ruotare le mie chiavi API?
- Poiché le password e le chiavi API non sono state compromesse, non stiamo raccomandando di reimpostare o ruotare le chiavi in risposta a questo incidente.
Cosa state facendo per proteggere i miei dati personali e la mia privacy?
- Abbiamo ottenuto i dataset interessati da sottoporre a revisione indipendente e stiamo continuando a indagare sul potenziale impatto, monitorando attentamente eventuali segni di uso improprio. Stiamo avvisando tutti gli utenti e le organizzazioni colpiti individualmente e siamo in contatto con Mixpanel per ulteriori azioni di risposta.
Mixpanel è stato rimosso dai prodotti di OpenAI?
- Sì.
Dovrei abilitare l'autenticazione a più fattori per il mio account?
- Sì. Sebbene le credenziali degli account o i token non siano stati compromessi in questo incidente, consigliamo a tutti gli utenti, come misura di sicurezza ottimale, di abilitare l'autenticazione a più fattori per proteggere ulteriormente i propri account. Per le imprese e le organizzazioni, raccomandiamo di abilitare l'autenticazione a più fattori (MFA) al livello di Single Sign-On (SSO).
Riceverò ulteriori aggiornamenti in caso di novità?
- Ci impegniamo per garantire la trasparenza e ti terremo informato qualora rilevassimo nuove informazioni che influiscono materialmente sugli utenti interessati. Aggiorneremo anche questa FAQ.
C'è qualcuno a cui possa rivolgermi in caso di domande?
- In caso di domande, dubbi o problemi relativi alla sicurezza, è possibile contattare il nostro team di assistenza all'indirizzo mixpanelincident@openai.com.
