19. desember 2025 avklaring: Vi oppdaterer bloggen for å klargjøre beskrivelsen av berørte brukere. Den opprinnelige bloggen sa at "API-brukere" var berørt. Den er oppdatert til å legge til: "Det påvirket også et begrenset antall ChatGPT‑brukere som sendte inn henvebdelser til hjelpesenteret eller var logget inn på platform.openai.com(åpnes i et nytt vindu)." Alle berørte brukere ble identifisert og varslet samtidig som en del av den opprinnelige kontakten med brukerne. Bortsett fra denne avklaringen, har ingenting annet om vår forståelse av hendelsen, inkludert typen informasjon som var involvert, endret seg.
Åpenhet er viktig for oss, så vi vil informere deg om en sikkerhetshendelse som oppsto nylig hos Mixpanel, en leverandør av dataanalyse som OpenAI brukte for webanalyse på frontend-grensesnittet for vårt API-produkt (platform.openai.com(åpnes i et nytt vindu)).
Hendelsen skjedde i Mixpanel-systemene, og involverte et begrenset antall analysedata knyttet til noen API-brukere. Dette påvirket også et begrenset antall ChatGPT‑brukere som sendte inn henvendelser til hjelpesenteret, eller var logget inn på platform.OpenAI.com.
Dette var ikke noe brudd på OpenAIs systemer. Ingen chat, API-forespørsler, API-bruksdata, passord, legitimasjon, API-nøkler, betalingsdetaljer eller offentlige ID-er ble kompromittert eller eksponert.
Det som skjedde
Den 9. november 2025 ble Mixpanel oppmerksom på en angriper som fikk uautorisert tilgang til deler av systemene deres og eksporterte et datasett som inneholdt begrenset kundeidentifiserbar informasjon og analyseinformasjon. Mixpanel varslet OpenAI om at de undersøkte, og den 25. november 2025 delte de det berørte datasettet med oss.
Hva dette betyr for berørte brukere
Brukerprofilinformasjon knyttet til bruken av platform.openai.com(åpnes i et nytt vindu) kan ha blitt inkludert i data som er eksportert fra Mixpanel. Informasjonen som kan ha blitt påvirket var begrenset til:
- Navnet som ble oppgitt til oss på kontoen
- E-postadressen tilknyttet kontoen
- Omtrentlig unøyaktig plassering basert på brukerens nettleser (by, stat, land)
- Operativsystem og nettleser som brukes for å få tilgang til kontoen
- Henvisende nettsteder
- Organisasjons- eller bruker-ID-er tilknyttet kontoen
Vårt svar
Som en del av vår sikkerhetsundersøkelse fjernet vi Mixpanel fra våre produksjonstjenester, gikk gjennom de berørte datasettene, og jobber tett med Mixpanel og andre partnere for å fullt ut forstå hendelsen og dens omfang. Vi er i ferd med å varsle berørte organisasjoner, administratorer og brukere direkte. Selv om vi ikke har funnet noen bevis for at systemer eller data utenfor Mixpanels miljø er påvirket, fortsetter vi å overvåke nøye for tegn på misbruk.
Tillit, sikkerhet og personvern er grunnleggende for produktene våre, organisasjonen vår og oppdraget vårt. Vi er forpliktet til åpenhet og varsler alle berørte kunder og brukere. Vi holder også våre partnere og leverandører ansvarlige for den høyeste standarden for sikkerhet og personvern i tjenestene deres. Etter å ha gjennomgått denne hendelsen, har OpenAI avsluttet bruken av Mixpanel.
Utover Mixpanel gjennomfører vi ytterligere og utvidede sikkerhetsgjennomganger på tvers av vårt leverandørøkosystem og hever sikkerhetskravene for alle partnere og leverandører.
Hva du skal huske på
Informasjonen som kan ha blitt påvirket her, kan brukes som en del av phishing eller sosial manipuleringsangrep mot deg eller organisasjonen din.
Siden navn, e-postadresser og OpenAI API-metadata (f.eks. bruker-ID-er) var inkludert, oppfordrer vi deg til å være på vakt mot troverdige phishing-forsøk eller spam. Som en påminnelse:
- Behandle uventede e-poster eller meldinger med forsiktighet, spesielt hvis de inneholder lenker eller vedlegg.
- Dobbeltsjekk at enhver melding som hevder å være fra OpenAI, er sendt fra et offisielt OpenAI-domene.
- OpenAI ber ikke om passord, API-nøkler eller verifiseringskoder via e-post, tekstmelding eller chat.
- Beskytt kontoen din ytterligere ved å aktivere flerfaktorautentisering(åpnes i et nytt vindu).
Sikkerheten og personvernet til produktene våre er av største betydning, og vi er fast bestemt på å beskytte informasjonen din og kommunisere åpent når problemer oppstår. Takk for at du fortsetter å stole på oss.
OpenAI
Spørsmål og svar
Hvorfor brukte OpenAI Mixpanel?
- Mixpanel ble brukt som tredjeparts webanalyseleverandør for å hjelpe oss med å forstå produktbruk og forbedre tjenestene våre for API-produktet vårt (platform.openai.com). Et begrenset antall ChatGPT‑brukere som sendte inn henvendelser gjennom hjelpesenteret, eller som var logget inn på platform.OpenAI.com, kan ha fått informasjonen som er beskrevet ovenfor logget av Mixpanel. Disse brukerne ble identifisert på det tidspunktet, og er allerede blitt varslet.
Ble dette forårsaket av en sårbarhet i OpenAIs systemer?
- Nei. Denne hendelsen var begrenset til Mixpanels systemer og involverte ikke uautorisert tilgang til OpenAIs infrastruktur.
Hvordan vet jeg om organisasjonen min eller jeg ble påvirket?
- Vi er i ferd med å varsle de som er berørt nå, og vi vil ta direkte kontakt med deg eller organisasjonsadministratoren din via e-post for å informere deg.
Ble noen av mine API-data, meldinger eller utdata påvirket?
- Nei. chatinnhold, meldinger, svar eller API-bruksdata ble ikke påvirket.
Ble ChatGPT‑kontoer påvirket av dette?
- Noen brukere av ChatGPT som sendte inn henvendelser gjennom hjelpesenteret, eller var logget inn på platform.api.com, kan ha blitt påvirket. Disse brukerne hadde blitt varslet tidligere.
Ble OpenAI-passord, API-nøkler eller betalingsinformasjon eksponert?
- Nei. OpenAI-passord, API-nøkler, betalingsinformasjon, offentlige ID-er og kontotilgangslegitimasjon ble ikke berørt. I tillegg har vi bekreftet at økt-tokener, autentiseringstokener og andre sensitive parametere for OpenAI-tjenester ikke ble berørt.
Må jeg tilbakestille passordet mitt eller rotere API-nøklene mine?
- Fordi passord og API-nøkler ikke ble berørt, anbefaler vi ikke tilbakestillinger eller nøkkelrotasjon som svar på denne hendelsen.
Hva gjør du for å beskytte min personlige informasjon og personvern?
- Vi har fått tak i de berørte datasettene for uavhengig gjennomgang og fortsetter å undersøke potensiell påvirkning, og overvåker nøye for tegn på misbruk. Vi varsler alle individuelt berørte brukere og organisasjoner og er i kontakt med Mixpanel om videre tiltak.
Har Mixpanel blitt fjernet fra OpenAI-produkter?
- Ja.
Bør jeg aktivere flerfaktorautentisering for kontoen min?
- Ja. Selv om legitimasjon eller token ikke ble berørt i denne hendelsen, anbefaler vi som en beste praksis for sikkerhetskontroll at alle brukere aktiverer flerfaktorautentisering for å beskytte kontoene sine ytterligere. For bedrifter og organisasjoner anbefaler vi at MFA er aktivert på enkeltpålogging-laget.
Vil jeg få flere oppdateringer hvis noe endrer seg?
- Vi er forpliktet til åpenhet og vil holde deg informert hvis vi identifiserer ny informasjon som påvirker de berørte brukerne i vesentlig grad. Vi vil også oppdatere dette avsnittet med spørsmål og svar.
Er det noen jeg kan kontakte hvis jeg har spørsmål?
- Hvis du har spørsmål, bekymringer eller sikkerhetsproblemer, kan du nå vårt supportteam på mixpanelincident@openai.com.
