Wat je moet weten over een recent beveiligingsincident bij Mixpanel

Verduidelijking op 19 december 2025: We updaten de blog om de beschrijving van getroffen gebruikers te verduidelijken. De oorspronkelijke blog vermeldde dat "API-gebruikers" werden getroffen. De tekst is bijgewerkt met: "Het trof ook een beperkt aantal ChatGPT‑gebruikers die tickets naar het helpcentrum hebben verzonden of waren ingelogd op platform.OpenAI.com⁠(opent in een nieuw venster)." Alle getroffen gebruikers zijn tegelijkertijd geïdentificeerd en geïnformeerd als onderdeel van de oorspronkelijke communicatie naar gebruikers. Afgezien van deze verduidelijking is er niets veranderd in ons begrip van het incident, inclusief het type betrokken informatie. 

Transparantie is belangrijk voor ons, dus willen we je informeren over een recent beveiligingsincident bij Mixpanel, een data-analyseprovider die OpenAI gebruikte voor webanalyse op de frontend-interface van ons API-product (platform.openai.com⁠(opent in een nieuw venster)). 

Het incident vond plaats binnen de systemen van Mixpanel en betrof beperkte analytische gegevens die verband hielden met sommige gebruikers van de API. Het trof ook een beperkt aantal ChatGPT‑gebruikers die tickets naar het helpcentrum hebben verzonden of waren ingelogd op platform.openai.com.

Dit was geen inbreuk op de systemen van OpenAI. Er zijn geen chatberichten, API-verzoeken, API-gebruiksgegevens, wachtwoorden, aanmeldgegevens, API-sleutels, betalingsgegevens of overheids-ID's gecompromitteerd of blootgesteld.

Wat is er gebeurd?

Op 9 november 2025 werd Mixpanel zich bewust van een aanvaller die ongeoorloofde toegang had verkregen tot een deel van hun systemen en een dataset had geëxporteerd met beperkte klantidentificeerbare en analytische gegevens. Mixpanel heeft OpenAI laten weten dat er een onderzoek is gestart en op 25 november 2025 hebben ze de getroffen dataset met ons gedeeld. 

Wat dit betekent voor getroffen gebruikers

In de gegevens die vanuit Mixpanel zijn geëxporteerd kunnen gegevens van het gebruikersprofiel die verband houden met het gebruik van platform.openai.com⁠(opent in een nieuw venster) zijn opgenomen. De getroffen gegevens waren beperkt tot:

• Naam die aan ons is opgegeven voor het account 
• E-mailadres dat gekoppeld is aan het account
• Geschatte grove locatie op basis van de browser van de gebruiker (stad, provincie, land)
• Besturingssysteem en browser die worden gebruikt om toegang te krijgen tot het account
• Verwijzende websites
• Organisatie- of gebruikers-ID's gekoppeld aan het account

Onze reactie  

Als onderdeel van ons beveiligingsonderzoek hebben we Mixpanel uit onze productiediensten verwijderd, de getroffen datasets herzien en werken we nauw samen met Mixpanel en andere partners om het incident en de omvang ervan volledig te begrijpen. We zijn bezig met het direct informeren van getroffen organisaties, beheerders en gebruikers. Hoewel we geen bewijs hebben gevonden van enige invloed op systemen of gegevens buiten de omgeving van Mixpanel, gaan we nauwlettend door met het controleren op tekenen van misbruik. 

Vertrouwen, beveiliging en privacy zijn de basis van onze producten, onze organisatie en onze missie. We streven naar transparantie en informeren alle getroffen klanten en gebruikers. We stellen ook onze partners en leveranciers verantwoordelijk voor de hoogste normen op het gebied van beveiliging en privacy van hun diensten. Na het beoordelen van dit incident heeft OpenAI het gebruik van Mixpanel stopgezet. 

Naast Mixpanel voeren we extra en uitgebreide beveiligingscontroles uit binnen ons leveranciersnetwerk en verhogen we de beveiligingseisen voor alle partners en leveranciers.

Wat je in gedachten moet houden  

De gegevens die hier mogelijk zijn getroffen, kunnen worden gebruikt voor phishing- of social engineering-aanvallen tegen jou of je organisatie. 

Aangezien namen, e-mailadressen en OpenAI API-metagegevens (bijv. gebruikers-ID's) zijn opgenomen, raden we je aan waakzaam te blijven voor geloofwaardige phishingpogingen of spam. Ter herinnering:

• Behandel onverwachte e-mails of berichten met voorzichtigheid, vooral als ze links of bijlagen bevatten.
• Controleer goed of een bericht dat beweert van OpenAI te zijn, afkomstig is van een officieel OpenAI-domein.
• OpenAI vraagt niet om wachtwoorden, API-sleutels of verificatiecodes via e-mail, sms of chat.
• Bescherm je account verder door multifactorauthenticatie⁠(opent in een nieuw venster) in te schakelen. 

De beveiliging en privacy van onze producten zijn van het grootste belang, en wij blijven vastbesloten om uw gegevens te beschermen en communiceren transparant wanneer er problemen optreden. Bedankt voor je blijvende vertrouwen in ons. 

OpenAI

Veelgestelde vragen

Waarom heeft OpenAI Mixpanel gebruikt?

• Mixpanel werd gebruikt als een externe webanalyseprovider om ons te helpen inzicht te krijgen in het gebruik van het product en onze diensten voor ons API-product (platform.openai.com) te verbeteren. Van een beperkt aantal ChatGPT‑gebruikers die tickets via het helpcentrum hebben verzonden of die waren ingelogd op platform.openai.com, kan de hierboven beschreven informatie door Mixpanel zijn gelogd. Deze gebruikers zijn destijds geïdentificeerd en zijn al op de hoogte gebracht.

Is dit veroorzaakt door een kwetsbaarheid in de systemen van OpenAI?

• Nee. Dit incident was beperkt tot de systemen van Mixpanel en betrof geen ongeoorloofde toegang tot de infrastructuur van OpenAI.

Hoe weet ik of mijn organisatie of ikzelf zijn getroffen?

• We zijn momenteel bezig met het informeren van de getroffenen en we zullen je, of je organisatiebeheerder, rechtstreeks via e-mail benaderen om je te informeren.

Zijn mijn API-gegevens, prompts of uitvoer getroffen?

• Nee. Chatcontent, prompts, reacties of API-gebruikgegevens zijn niet getroffen.

Zijn er ChatGPT‑accounts getroffen?

• Sommige gebruikers van ChatGPT die tickets via het helpcentrum hebben verzonden of waren ingelogd op platform.openai.com, kunnen zijn getroffen. Zij zijn eerder geïnformeerd.

Zijn er OpenAI-wachtwoorden, API-sleutels of betalingsgegevens blootgesteld?

• Nee. OpenAI-wachtwoorden, API-sleutels, betalingsgegevens, overheids-ID's en aanmeldgegevens zijn niet getroffen. Bovendien hebben we bevestigd dat sessietokens, authenticatietokens en andere gevoelige parameters voor OpenAI-diensten niet zijn getroffen.

Moet ik mijn wachtwoord opnieuw instellen of mijn API-sleutels roteren?

• Omdat wachtwoorden en API-sleutels niet zijn getroffen, raden we niet aan wachtwoorden opnieuw in te stellen of sleutelrotaties uit te voeren als reactie op dit incident.

Wat doe jullie om mijn persoonlijke gegevens en privacy te beschermen?

• We hebben de getroffen datasets verkregen voor onafhankelijke beoordeling en blijven de mogelijke impact onderzoeken en nauwlettend controleren op tekenen van misbruik. We informeren alle individueel getroffen gebruikers en organisaties en zijn in contact met Mixpanel over verdere handelingen.

Is Mixpanel verwijderd uit de producten van OpenAI?

• Ja. 

Moet ik multifactorauthenticatie inschakelen voor mijn account?

• Ja. Hoewel aanmeldgegevens of tokens niet zijn getroffen in dit incident, raden we als een best practice beveiligingsmaatregel alle gebruikers aan om multifactorauthenticatie in te schakelen om hun accounts extra te beveiligen. Voor ondernemingen en organisaties raden we aan dat MFA is ingeschakeld op de eenmalige aanmeldingslaag. 

Krijg ik nog meer updates als er iets verandert?

• We streven naar transparantie en zullen je op de hoogte houden als we nieuwe informatie krijgen die materieel invloed heeft op getroffen gebruikers. We zullen deze veelgestelde vragen ook bijwerken. 

Is er iemand met wie ik contact kan opnemen als ik vragen heb?

• Als je vragen, zorgen of beveiligingsproblemen hebt, kun je contact opnemen met ons ondersteuningsteam via mixpanelincident@openai.com⁠.