Co warto wiedzieć o niedawnym incydencie bezpieczeństwa w Mixpanel
Objaśnienie z 19 grudnia 2025: Aktualizujemy blog, aby objaśnić opis użytkowników, których dotyczy zaistniały incydent. Oryginalny blog podawał, że incydent dotyczył „użytkowników API”. Informacja została zaktualizowana i rozszerzona, że „incydent dotyczył również ograniczonej liczby użytkowników ChatGPT, którzy przesyłali zgłoszenia do centrum pomocy lub byli zalogowani na platform.openai.com(otwiera nowe okno).” Wszyscy dotknięci użytkownicy zostali zidentyfikowani i powiadomieni w tym samym czasie w ramach pierwszego kontaktu z użytkownikami. Poza tym objaśnieniem nic innego w naszym rozumieniu incydentu, w tym typ informacji, które obejmuje, nie uległo zmianie.
Przejrzystość jest dla nas ważna, dlatego chcemy poinformować Cię o niedawnym incydencie bezpieczeństwa w Mixpanel, dostawcy analityki danych, z którego OpenAI korzystało do analizy internetowej w interfejsie frontendowym dla naszego produktu API (platform.openai.com(otwiera nowe okno)).
Incydent miał miejsce w systemach Mixpanel i dotyczył ograniczonych danych analitycznych związanych z niektórymi użytkownikami API. Wpłynęło to również na ograniczoną liczbę użytkowników ChatGPT, którzy przesyłali zgłoszenia do centrum pomocy lub byli zalogowani na platform.openai.com.
Nie było to naruszenie systemów OpenAI. Nie doszło do naruszenia ani ujawnienia żadnych danych dotyczących czatu, żądań API, wykorzystania API, haseł, poświadczeń, kluczy API, szczegółów płatności ani dokumentów tożsamości wydanych przez organy rządowe.
Co się wydarzyło
9 listopada 2025 r. firma Mixpanel dowiedziała się o ataku hakerskim, w wyniku którego osoba nieuprawniona uzyskała dostęp do części jej systemów i wyeksportowała zbiór danych zawierający ograniczone informacje umożliwiające identyfikację klientów oraz dane analityczne. Firma Mixpanel powiadomiła OpenAI, że prowadzi dochodzenie, a 25 listopada 2025 roku udostępniła nam naruszony zestaw danych.
Co to oznacza dla użytkowników, których to dotyczy
W danych wyeksportowanych z Mixpanel mogły znaleźć się informacje o profilu użytkownika związane z korzystaniem z platform.openai.com(otwiera nowe okno). Wśród informacji, które mogły zostać naruszone, znalazły się tylko:
- Nazwa podana nam na koncie
- Adres e-mail powiązany z kontem
- Przybliżona ogólna lokalizacja na podstawie przeglądarki użytkownika (miasto, stan, kraj)
- System operacyjny i przeglądarka używane do uzyskania dostępu do konta
- Strony odsyłające
- Powiązane z kontem identyfikatory organizacji lub użytkowników
Nasza odpowiedź
W ramach dochodzenia dotyczącego bezpieczeństwa usunęliśmy Mixpanel z naszych usług produkcyjnych, przejrzeliśmy dane, których dotyczyła awaria, i ściśle współpracujemy z Mixpanel oraz innymi partnerami, aby w pełni zrozumieć przebieg zdarzenia i jego zakres. Jesteśmy w trakcie powiadamiania bezpośrednio dotkniętych organizacji, administratorów i użytkowników. Chociaż nie znaleźliśmy żadnych dowodów na wpływ na systemy lub dane poza środowiskiem Mixpanel, kontynuujemy uważne monitorowanie wszelkich oznak nadużyć.
Zaufanie, bezpieczeństwo i prywatność są fundamentem naszych produktów, naszej organizacji i naszej misji. Jesteśmy zobowiązani do przejrzystości i powiadamiamy wszystkich dotkniętych klientów oraz użytkowników. Również nasi partnerzy i dostawcy są zobowiązani do przestrzegania najwyższych standardów bezpieczeństwa i prywatności swoich usług. Po przeanalizowaniu tego incydentu, OpenAI przestało korzystać z Mixpanel.
Poza Mixpanel, przeprowadzamy dodatkowe i rozszerzone przeglądy bezpieczeństwa w całym naszym ekosystemie dostawców oraz podnosimy wymagania dotyczące bezpieczeństwa dla wszystkich partnerów i dostawców.
Co powinieneś mieć na uwadze
Informacje, które mogły zostać tutaj naruszone, mogą być wykorzystane jako część ataków phishingowych lub inżynierii społecznej przeciwko Tobie lub Twojej organizacji.
Ponieważ zawarte zostały nazwy, adresy e-mail oraz metadane API OpenAI (np. identyfikatory użytkowników), zachęcamy Cię do zachowania czujności wobec wiarygodnie wyglądających prób phishingu lub spamu. Przypominamy:
- Traktuj nieoczekiwane e-maile lub wiadomości z ostrożnością, zwłaszcza jeśli zawierają linki lub załączniki.
- Sprawdzaj dwukrotnie, czy każda wiadomość podająca się za pochodzącą od OpenAI jest wysłana z oficjalnej domeny OpenAI.
- OpenAI nie prosi o hasła, klucze API ani kody weryfikacyjne przez e-mail, SMS lub czat.
- Dodatkowo chroń swoje konto, włączając uwierzytelnianie wieloskładnikowe(otwiera nowe okno).
Bezpieczeństwo i prywatność naszych produktów są najważniejsze i pozostajemy zdecydowani w ochronie Twoich danych i przejrzystej komunikacji, gdy pojawią się problemy. Dziękujemy za nieustające zaufanie.
OpenAI
Często zadawane pytania
Dlaczego OpenAI korzystało z firmy Mixpanel?
- Mixpanel zostało wykorzystane jako zewnętrzny dostawca usług analityki internetowej, aby pomóc nam zrozumieć sposób korzystania z produktu i ulepszyć nasze usługi dla naszego produktu API (platform.openai.com). Informacje opisane powyżej mogły zostać zapisane przez Mixpanel w przypadku ograniczonej liczby użytkowników ChatGPT, którzy przesyłali zgłoszenia przez centrum pomocy lub byli zalogowani na platform.openai.com. Ci użytkownicy zostali wówczas zidentyfikowani i już zostali powiadomieni.
Czy było to spowodowane luką w systemach OpenAI?
- Nie. Incydent ten był ograniczony do systemów Mixpanel i nie obejmował nieautoryzowanego dostępu do infrastruktury OpenAI.
Jak mogę dowiedzieć się, czy moja organizacja lub ja zostaliśmy dotknięci?
- Obecnie powiadamiamy osoby, których to dotyczy, i skontaktujemy się z Tobą lub administratorem Twojej organizacji bezpośrednio przez e-mail, aby Cię poinformować.
Czy któreś z moich danych API, poleceń lub danych wyjściowych zostało naruszone?
- Nie. Zawartość czatu, polecenia, odpowiedzi ani dane dotyczące użycia API nie zostały naruszone.
Czy konta ChatGPT zostały dotknięte atakiem?
- Incydent może dotyczyć niektórych użytkowników ChatGPT, którzy przesyłali zgłoszenia przez centrum pomocy lub byli zalogowani na platform.api.com. Użytkownicy ci zostali wcześniej poinformowani.
Czy hasła OpenAI, klucze API lub informacje o płatnościach zostały ujawnione?
- Nie. Hasła OpenAI, klucze API, informacje o płatnościach, identyfikatory rządowe i dane logowania do konta nie zostały naruszone. Dodatkowo potwierdziliśmy, że tokeny sesji, tokeny uwierzytelniające i inne wrażliwe parametry usług OpenAI również nie zostały naruszone.
Czy muszę resetować swoje hasło lub zmienić moje klucze API?
- Ponieważ hasła i klucze API nie zostały naruszone, nie zalecamy resetowania ani rotacji kluczy w odpowiedzi na ten incydent.
Co robicie, by chronić moje dane?
- Uzyskaliśmy dostęp do objętych sprawą zbiorów danych do niezależnej analizy i kontynuujemy badanie potencjalnego wpływu oraz uważnie monitorujemy wszelkie oznaki niewłaściwego użycia. Powiadamiamy wszystkich indywidualnie dotkniętych użytkowników i organizacje oraz jesteśmy w kontakcie z Mixpanel w sprawie dalszych działań.
Czy Mixpanel został usunięty z produktów OpenAI?
- Tak.
Czy powinienem włączać uwierzytelnianie wieloskładnikowe dla mojego konta?
- Tak. Chociaż dane logowania lub tokeny nie zostały naruszone w tym incydencie, jako najlepszą praktykę w zakresie kontroli bezpieczeństwa zalecamy wszystkim użytkownikom włączenie uwierzytelniania wieloskładnikowego, która zapewnia dodatkową ochronę kont. Dla przedsiębiorstw i organizacji zalecamy, aby uwierzytelnianie wieloskładnikowe było włączone na poziomie logowania jednokrotnego.
Czy otrzymam dalsze aktualizacje, jeśli coś się zmieni?
- Jesteśmy zobowiązani do przejrzystości i będziemy Cię informować, jeśli zidentyfikujemy nowe informacje, które mogą istotnie wpłynąć na dotkniętych użytkowników. Zaktualizujemy również te często zadawane pytania.
Czy jest ktoś, z kim mogę się skontaktować w przypadku pytań lub wątpliwości?
- Jeśli masz pytania, wątpliwości lub problemy z bezpieczeństwem, możesz skontaktować się z naszym zespołem wsparcia pod adresem mixpanelincident@openai.com.
