X’għandek tkun taf dwar inċident reċenti ta’ sigurtà ta’ Mixpanel

Kjarifika tad-19 ta’ Diċembru 2025: Qed naġġornaw il-blog biex niċċaraw id-deskrizzjoni tal-utenti affettwati. Il-blog oriġinali qal li kienu affettwati “utenti tal-API”. Ġie aġġornat biex jiżdied: “Affettwa wkoll numru limitat ta’ utenti ta’ ChatGPT li bagħtu tickets liċ-ċentru tal-għajnuna jew li kienu illoggjati fi platform.openai.com⁠(jinfetaħ f’tieqa ġdida).” L-utenti kollha affettwati ġew identifikati u mgħarrfa fl-istess ħin bħala parti mill-komunikazzjoni oriġinali lill-utenti. Minbarra din il-kjarifika, xejn ieħor dwar il-fehim tagħna tal-inċident, inkluż it-tip ta’ informazzjoni involuta, ma nbidel. 

It-trasparenza hi importanti għalina, għalhekk irridu ninfurmawk dwar inċident reċenti ta’ sigurtà f’Mixpanel, fornitur ta’ analitika tad-data li OpenAI kienet tuża għall-analitika tal-web fuq l-interface frontend tal-prodott API tagħna (platform.openai.com⁠(jinfetaħ f’tieqa ġdida)). 

L-inċident seħħ fis-sistemi ta’ Mixpanel u involva data analitika limitata relatata ma’ xi utenti tal-API. Affettwa wkoll numru limitat ta’ utenti ta’ ChatGPT li bagħtu tickets liċ-ċentru tal-għajnuna jew li kienu illoggjati fi platform.openai.com.

Dan ma kienx ksur tas-sistemi ta’ OpenAI. L-ebda chat, talbiet tal-API, data tal-użu tal-API, passwords, kredenzjali, API keys, dettalji tal-ħlas jew IDs tal-gvern ma ġew kompromessi jew esposti.

X’ġara

Fid-9 ta’ Novembru 2025, Mixpanel saret taf b’attakkant li kiseb aċċess mhux awtorizzat għal parti mis-sistemi tagħha u esporta dataset li kien fih informazzjoni identifikabbli limitata tal-klijenti u informazzjoni analitika. Mixpanel avżat lil OpenAI li kienu qed jinvestigaw, u fil-25 ta’ Novembru 2025 qasmu magħna d-dataset affettwat. 

Xi jfisser dan għall-utenti affettwati

L-informazzjoni tal-profil tal-utent assoċjata mal-użu ta’ platform.openai.com⁠(jinfetaħ f’tieqa ġdida) setgħet ġiet inkluża fid-data esportata minn Mixpanel. L-informazzjoni li setgħet ġiet affettwata kienet limitata għal:

• Isem li ngħatalna fuq il-kont 
• Indirizz tal-email assoċjat mal-kont
• Post ġeografiku approssimattiv ibbażat fuq il-browser tal-utent (belt, stat, pajjiż)
• Sistema operattiva u browser użati biex jiġi aċċessat il-kont
• Websajts ta’ riferiment
• IDs tal-Organizzazzjoni jew tal-Utent assoċjati mal-kont

Ir-rispons tagħna  

Bħala parti mill-investigazzjoni tas-sigurtà tagħna, neħħejna lil Mixpanel mis-servizzi tal-produzzjoni tagħna, irrevedejna d-datasets affettwati, u qed naħdmu mill-qrib ma’ Mixpanel u msieħba oħra biex nifhmu bis-sħiħ l-inċident u l-iskop tiegħu. Bħalissa qegħdin fil-proċess li ninnotifikaw direttament lill-organizzazzjonijiet, lill-amministraturi u lill-utenti affettwati. Għalkemm ma sibniex evidenza ta’ xi effett fuq sistemi jew data barra mill-ambjent ta’ Mixpanel, nibqgħu nimmonitorjaw mill-qrib għal kwalunkwe sinjal ta’ użu ħażin. 

Il-fiduċja, is-sigurtà u l-privatezza huma fundamentali għall-prodotti tagħna, għall-organizzazzjoni tagħna u għall-missjoni tagħna. Aħna impenjati għat-trasparenza, u qed ninnotifikaw lill-klijenti u lill-utenti kollha affettwati. Inżommu wkoll lill-imsieħba u lill-fornituri tagħna responsabbli għall-ogħla standards ta’ sigurtà u privatezza tas-servizzi tagħhom. Wara li rrevediet dan l-inċident, OpenAI temmet l-użu tagħha ta’ Mixpanel. 

Minbarra Mixpanel, qed inwettqu reviżjonijiet addizzjonali u estiżi tas-sigurtà fl-ekosistema kollha tal-fornituri tagħna u qed ngħollu r-rekwiżiti tas-sigurtà għall-imsieħba u l-fornituri kollha.

X’għandek iżżomm f’moħħok  

L-informazzjoni li setgħet ġiet affettwata hawnhekk tista’ tintuża bħala parti minn attakki ta’ phishing jew ta’ inġinerija soċjali kontrik jew kontra l-organizzazzjoni tiegħek. 

Peress li ġew inklużi ismijiet, indirizzi tal-email, u metadata tal-API ta’ OpenAI (eż. user IDs), inħeġġuk tibqa’ attent għal tentattivi ta’ phishing jew spam li jidhru kredibbli. Bħala tfakkira:

• Ittratta emails jew messaġġi mhux mistennija b’kawtela, speċjalment jekk jinkludu links jew attachments.
• Iċċekkja darbtejn li kwalunkwe messaġġ li jallega li hu minn OpenAI jintbagħat minn dominju uffiċjali ta’ OpenAI.
• OpenAI ma titlobx passwords, API keys, jew kodiċijiet ta’ verifika permezz ta’ email, messaġġ jew chat.
• Ipproteġi aktar il-kont tiegħek billi tattiva MFA⁠(jinfetaħ f’tieqa ġdida). 

Is-sigurtà u l-privatezza tal-prodotti tagħna huma ta’ importanza massima, u nibqgħu determinati li nipproteġu l-informazzjoni tiegħek u nikkomunikaw b’mod trasparenti meta jinqalgħu problemi. Grazzi tal-fiduċja kontinwa tiegħek fina. 

OpenAI

FAQ

Għaliex OpenAI użat Mixpanel?

• Mixpanel intuża bħala fornitur terz ta’ analitika tal-web biex jgħinna nifhmu l-użu tal-prodott u ntejbu s-servizzi tagħna għall-prodott API tagħna (platform.openai.com). Numru limitat ta’ utenti ta’ ChatGPT li bagħtu tickets permezz taċ-ċentru tal-għajnuna jew li kienu illoggjati fi platform.openai.com setgħu kellhom l-informazzjoni deskritta hawn fuq irreġistrata minn Mixpanel. Dawn l-utenti ġew identifikati dak iż-żmien u diġà ġew mgħarrfa.

Dan kien ikkawżat minn vulnerabbiltà fis-sistemi ta’ OpenAI?

• Le. Dan l-inċident kien limitat għas-sistemi ta’ Mixpanel u ma involviex aċċess mhux awtorizzat għall-infrastruttura ta’ OpenAI.

Kif inkun naf jekk jien jew l-organizzazzjoni tiegħi konniex affettwati?

• Bħalissa qegħdin fil-proċess li ninnotifikaw lil dawk affettwati, u se nikkuntattjawk direttament bl-email, jew lill-amministratur tal-organizzazzjoni tiegħek, biex ninfurmawk.

Kienx affettwat xi data tal-API tiegħi, prompts, jew outputs?

• Le. Il-kontenut taċ-chat, prompts, tweġibiet, jew data tal-użu tal-API ma ġewx affettwati.

Il-kontijiet ta’ ChatGPT ġew affettwati b’dan?

• Xi utenti ta’ ChatGPT li bagħtu tickets permezz taċ-ċentru tal-għajnuna jew li kienu illoggjati fi platform.api.com setgħu ġew affettwati. Huma kienu ġew mgħarrfa qabel.

Kienu esposti passwords ta’ OpenAI, API keys, jew informazzjoni dwar il-ħlas?

• Le. Il-passwords ta’ OpenAI, API keys, informazzjoni dwar il-ħlas, IDs tal-gvern, u kredenzjali ta’ aċċess għall-kont ma ġewx affettwati. Barra minn hekk, ikkonfermajna li session tokens, authentication tokens, u parametri sensittivi oħra għas-servizzi ta’ OpenAI ma ġewx affettwati.

Għandi bżonn nirrisettja l-password tiegħi jew nibdel l-API keys tiegħi?

• Peress li l-passwords u l-API keys ma ġewx affettwati, m’aħniex nirrakkomandaw resets jew rotazzjoni taċ-ċwievet b’reazzjoni għal dan l-inċident.

X’qed tagħmlu biex tipproteġu l-informazzjoni personali u l-privatezza tiegħi?

• Ksibna d-datasets affettwati għal reviżjoni indipendenti u qed inkomplu ninvestigaw l-impatt potenzjali, u nimmonitorjaw mill-qrib għal kwalunkwe sinjal ta’ użu ħażin. Qed ninnotifikaw lill-utenti u lill-organizzazzjonijiet kollha affettwati individwalment u qegħdin f’kuntatt ma’ Mixpanel dwar aktar azzjonijiet ta’ rispons.

Mixpanel tneħħiet mill-prodotti ta’ OpenAI?

• Iva. 

Għandi nattiva MFA għall-kont tiegħi?

• Iva. Għalkemm il-kredenzjali jew it-tokens tal-kont ma ġewx affettwati f’dan l-inċident, bħala kontroll ta’ sigurtà tal-aħjar prattika, nirrakkomandaw li l-utenti kollha jattivaw MFA biex jipproteġu aktar il-kontijiet tagħhom. Għall-intrapriżi u l-organizzazzjonijiet, nirrakkomandaw li l-MFA jiġi attivat fil-livell tas-single sign-on. 

Se nirċievi aktar aġġornamenti jekk tinbidel xi ħaġa?

• Aħna impenjati għat-trasparenza u se nżommuk infurmat jekk nidentifikaw informazzjoni ġdida li taffettwa b’mod materjali lill-utenti affettwati. Se naġġornaw ukoll din il-FAQ. 

Hemm xi ħadd li nista’ nikkuntattja jekk ikolli mistoqsijiet?

• Jekk għandek mistoqsijiet, tħassib, jew kwistjonijiet ta’ sigurtà, tista’ tikkuntattja lit-tim ta’ appoġġ tagħna fuq mixpanelincident@openai.com⁠.