Yang perlu diketahui tentang insiden keamanan Mixpanel baru-baru ini

Klarifikasi 19 Desember 2025: Kami memperbarui blog ini untuk memperjelas deskripsi pengguna yang terdampak. Blog asli menyatakan bahwa “pengguna API” terdampak. Blog tersebut telah diperbarui dengan menambahkan: “Ini juga memengaruhi sejumlah kecil pengguna ChatGPT yang mengirim tiket pusat bantuan atau masuk ke platform.openai.com⁠(mbukak ing jendhela anyar).” Semua pengguna yang terdampak telah diidentifikasi dan diberi tahu pada waktu yang sama sebagai bagian dari pemberitahuan awal kepada pengguna. Selain klarifikasi ini, tidak ada hal lain dalam pemahaman kami tentang insiden ini, termasuk jenis informasi yang terlibat, yang berubah. 

Transparansi penting bagi kami, jadi kami ingin memberi tahu Anda tentang insiden keamanan baru-baru ini di Mixpanel, penyedia analitik data yang digunakan OpenAI untuk analitik web pada antarmuka frontend bagi produk API kami (platform.openai.com⁠(mbukak ing jendhela anyar)). 

Insiden ini terjadi di dalam sistem Mixpanel dan melibatkan data analitik terbatas yang terkait dengan sebagian pengguna API. Ini juga memengaruhi sejumlah kecil pengguna ChatGPT yang mengirim tiket pusat bantuan atau masuk ke platform.openai.com.

Ini bukan pelanggaran terhadap sistem OpenAI. Tidak ada chat, permintaan API, data penggunaan API, kata sandi, kredensial, kunci API, detail pembayaran, atau ID pemerintah yang disusupi atau terekspos.

Apa yang terjadi

Pada 9 November 2025, Mixpanel menyadari adanya penyerang yang memperoleh akses tanpa izin ke sebagian sistem mereka dan mengekspor dataset yang berisi informasi pelanggan yang dapat diidentifikasi serta informasi analitik dalam jumlah terbatas. Mixpanel memberi tahu OpenAI bahwa mereka sedang menyelidikinya, dan pada 25 November 2025, mereka membagikan dataset yang terdampak kepada kami. 

Apa artinya ini bagi pengguna yang terdampak

Informasi profil pengguna yang terkait dengan penggunaan platform.openai.com⁠(mbukak ing jendhela anyar) mungkin telah disertakan dalam data yang diekspor dari Mixpanel. Informasi yang mungkin terdampak terbatas pada:

• Nama yang diberikan kepada kami pada akun 
• Alamat email yang terkait dengan akun
• Perkiraan lokasi umum berdasarkan browser pengguna (kota, negara bagian, negara)
• Sistem operasi dan browser yang digunakan untuk mengakses akun
• Situs web perujuk
• ID Organisasi atau Pengguna yang terkait dengan akun

Tanggapan kami  

Sebagai bagian dari investigasi keamanan kami, kami telah menghapus Mixpanel dari layanan produksi kami, meninjau dataset yang terdampak, dan bekerja sama erat dengan Mixpanel serta mitra lainnya untuk sepenuhnya memahami insiden ini dan cakupannya. Kami sedang dalam proses memberi tahu organisasi, admin, dan pengguna yang terdampak secara langsung. Meskipun kami tidak menemukan bukti adanya dampak pada sistem atau data di luar lingkungan Mixpanel, kami terus memantau secara ketat untuk melihat tanda-tanda penyalahgunaan. 

Kepercayaan, keamanan, dan privasi adalah landasan produk, organisasi, dan misi kami. Kami berkomitmen pada transparansi, dan sedang memberi tahu semua pelanggan dan pengguna yang terdampak. Kami juga meminta pertanggungjawaban mitra dan vendor kami terhadap standar tertinggi untuk keamanan dan privasi layanan mereka. Setelah meninjau insiden ini, OpenAI telah menghentikan penggunaan Mixpanel. 

Di luar Mixpanel, kami sedang melakukan peninjauan keamanan tambahan dan yang diperluas di seluruh ekosistem vendor kami serta meningkatkan persyaratan keamanan untuk semua mitra dan vendor.

Hal yang perlu Anda ingat  

Informasi yang mungkin terdampak di sini dapat digunakan sebagai bagian dari serangan phishing atau rekayasa sosial terhadap Anda atau organisasi Anda. 

Karena nama, alamat email, dan metadata API OpenAI (misalnya, ID pengguna) disertakan, kami mendorong Anda untuk tetap waspada terhadap upaya phishing atau spam yang tampak meyakinkan. Sebagai pengingat:

• Berhati-hatilah terhadap email atau pesan yang tidak terduga, terutama jika menyertakan tautan atau lampiran.
• Periksa kembali bahwa setiap pesan yang mengaku berasal dari OpenAI dikirim dari domain resmi OpenAI.
• OpenAI tidak meminta kata sandi, kunci API, atau kode verifikasi melalui email, teks, atau chat.
• Lindungi akun Anda lebih lanjut dengan mengaktifkan multi-factor authentication⁠(mbukak ing jendhela anyar). 

Keamanan dan privasi produk kami adalah prioritas utama, dan kami tetap teguh dalam melindungi informasi Anda serta berkomunikasi secara transparan saat masalah muncul. Terima kasih atas kepercayaan Anda yang terus berlanjut kepada kami. 

OpenAI

FAQ

Mengapa OpenAI menggunakan Mixpanel?

• Mixpanel digunakan sebagai penyedia analitik web pihak ketiga untuk membantu kami memahami penggunaan produk dan meningkatkan layanan kami untuk produk API kami (platform.openai.com). Sejumlah kecil pengguna ChatGPT yang mengirim tiket melalui pusat bantuan atau yang masuk ke platform.openai.com mungkin memiliki informasi yang dijelaskan di atas yang dicatat oleh Mixpanel. Pengguna ini diidentifikasi saat itu juga dan telah diberi tahu.

Apakah ini disebabkan oleh kerentanan dalam sistem OpenAI?

• Tidak. Insiden ini terbatas pada sistem Mixpanel dan tidak melibatkan akses tanpa izin ke infrastruktur OpenAI.

Bagaimana saya tahu apakah organisasi saya atau saya terdampak?

• Kami sedang dalam proses memberi tahu mereka yang terdampak sekarang, dan kami akan menghubungi Anda, atau admin organisasi Anda, secara langsung melalui email untuk memberi tahu Anda.

Apakah data API, prompt, atau output saya terdampak?

• Tidak. Konten chat, prompt, respons, atau data penggunaan API tidak terdampak.

Apakah akun ChatGPT terdampak oleh ini?

• Beberapa pengguna ChatGPT yang mengirim tiket melalui pusat bantuan atau masuk ke platform.api.com mungkin terdampak. Mereka telah diberi tahu sebelumnya.

Apakah kata sandi OpenAI, kunci API, atau informasi pembayaran terekspos?

• Tidak. Kata sandi OpenAI, kunci API, informasi pembayaran, ID pemerintah, dan kredensial akses akun tidak terdampak. Selain itu, kami telah mengonfirmasi bahwa token sesi, token autentikasi, dan parameter sensitif lainnya untuk layanan OpenAI tidak terdampak.

Apakah saya perlu mereset kata sandi atau merotasi kunci API saya?

• Karena kata sandi dan kunci API tidak terdampak, kami tidak merekomendasikan reset atau rotasi kunci sebagai respons terhadap insiden ini.

Apa yang Anda lakukan untuk melindungi informasi pribadi dan privasi saya?

• Kami telah memperoleh dataset yang terdampak untuk peninjauan independen dan terus menyelidiki potensi dampaknya, serta memantau secara ketat untuk melihat tanda-tanda penyalahgunaan. Kami sedang memberi tahu semua pengguna dan organisasi yang terdampak secara individual dan berkomunikasi dengan Mixpanel mengenai tindakan respons lanjutan.

Apakah Mixpanel telah dihapus dari produk OpenAI?

• Ya. 

Haruskah saya mengaktifkan multi-factor authentication untuk akun saya?

• Ya. Meskipun kredensial atau token akun tidak terdampak dalam insiden ini, sebagai kontrol keamanan praktik terbaik, kami merekomendasikan semua pengguna untuk mengaktifkan multi-factor authentication guna lebih melindungi akun mereka. Untuk perusahaan dan organisasi, kami merekomendasikan agar MFA diaktifkan pada lapisan single sign-on. 

Apakah saya akan menerima pembaruan lebih lanjut jika ada perubahan?

• Kami berkomitmen pada transparansi dan akan terus memberi tahu Anda jika kami mengidentifikasi informasi baru yang secara material memengaruhi pengguna yang terdampak. Kami juga akan memperbarui FAQ ini. 

Adakah seseorang yang dapat saya hubungi jika saya memiliki pertanyaan?

• Jika Anda memiliki pertanyaan, kekhawatiran, atau masalah keamanan, Anda dapat menghubungi tim dukungan kami di mixpanelincident@openai.com⁠.