Esclarecimento em 19 de dezembro de 2025: estamos atualizando o blog para esclarecer a descrição dos usuários afetados. A publicação original afirmava que "usuários da API" foram afetados. Esse trecho foi atualizado para incluir: "Ele também afetou um número limitado de usuários do ChatGPT que enviaram chamados pela Central de Ajuda ou estavam conectados em platform.openai.com(abre em uma nova janela)". Todos os usuários afetados foram identificados e notificados ao mesmo tempo como parte do contato original com os usuários. Além deste esclarecimento, nada mais sobre nosso entendimento do incidente, incluindo o tipo de informação envolvida, mudou.
A transparência é importante para nós, por isso queremos informá-lo sobre um incidente de segurança recente no Mixpanel, um provedor de análise de dados que a OpenAI utiliza para análise da web na interface de front-end do nosso produto de API (platform.openai.com(abre em uma nova janela)).
O incidente ocorreu nos sistemas da Mixpanel e envolveu dados analíticos limitados relacionados a alguns usuários da API. Ele também afetou um número limitado de usuários do ChatGPT que enviaram chamados pela Central de Ajuda ou estavam conectados em platform.openai.com.
Isso não constituiu uma violação dos sistemas da OpenAI. Nenhuma conversa, solicitação de API, dado de uso da API, senha, credencial, chave de API, detalhe de pagamento ou documento de identidade governamental foi comprometido ou exposto.
O que aconteceu
Em 9 de novembro de 2025, a Mixpanel tomou conhecimento de um ataque em que um invasor obteve acesso não autorizado a parte de seus sistemas e exportou um conjunto de dados contendo informações limitadas de identificação do cliente e informações analíticas. A Mixpanel notificou a OpenAI de que estava investigando o caso e, em 25 de novembro de 2025, compartilhou o conjunto de dados afetado conosco.
O que isso significa para os usuários afetados?
Informações do perfil de usuário associadas ao uso de platform.openai.com(abre em uma nova janela) podem ter sido incluídas nos dados exportados do Mixpanel. As informações que podem ter sido afetadas estavam limitadas a:
- Nome que nos foi fornecido na conta
- Endereço de e-mail associado à conta
- Localização aproximada com base no navegador do usuário (cidade, estado, país)
- Sistema operacional e navegador usados para acessar a conta
- Sites de referência
- IDs de organização ou de usuário associados à conta
Nossa resposta
Como parte de nossa investigação de segurança, removemos o Mixpanel de nossos serviços de produção, revisamos os conjuntos de dados afetados e estamos trabalhando em estreita colaboração com o Mixpanel e outros parceiros para entender completamente o incidente e seu alcance. Estamos em processo de notificar diretamente as organizações, administradores e usuários afetados. Embora não tenhamos encontrado evidências de qualquer efeito em sistemas ou dados fora do ambiente da Mixpanel, continuamos monitorando atentamente quaisquer sinais de uso indevido.
Confiança, segurança e privacidade são fundamentais para nossos produtos, nossa organização e nossa missão. Estamos comprometidos com a transparência e estamos notificando todos os clientes e usuários afetados. Também exigimos que nossos parceiros e fornecedores mantenham o mais alto padrão de segurança e privacidade em seus serviços. Após analisar o incidente, a OpenAI encerrou sua utilização do Mixpanel.
Além do Mixpanel, estamos realizando análises de segurança adicionais e ampliadas em todo o nosso ecossistema de fornecedores e elevando os requisitos de segurança para todos os parceiros e fornecedores.
O que você deve ter em mente
As informações que podem ter sido afetadas aqui podem ser usadas como parte de ataques de phishing ou engenharia social contra você ou sua organização.
Como nomes, endereços de e-mail e metadados da API da OpenAI (por exemplo, IDs de usuário) foram incluídos, recomendamos que você permaneça vigilante quanto a tentativas de phishing ou spam que pareçam convincentes. Só para lembrar:
- Trate e-mails ou mensagens inesperadas com cautela, especialmente se incluírem links ou anexos.
- Verifique se qualquer mensagem que afirme ser da OpenAI foi enviada de um domínio oficial da OpenAI.
- A OpenAI não solicita senhas, chaves de API ou códigos de verificação por e-mail, mensagem de texto ou chat.
- Proteja ainda mais sua conta ativando a autenticação multifator(abre em uma nova janela).
A segurança e a privacidade dos nossos produtos são fundamentais, e permanecemos firmes na proteção das suas informações e na comunicação transparente sempre que surgirem problemas. Agradecemos a sua contínua confiança em nós.
OpenAI
Perguntas Frequentes
Por que a OpenAI usou o Mixpanel?
- Utilizamos o Mixpanel como um provedor terceirizado de análise da web para nos ajudar a entender o uso do produto e aprimorar nossos serviços para o nosso produto de API (platform.openai.com). O Mixpanel pode ter registrado as informações descritas acima de um número limitado de usuários do ChatGPT que enviaram chamados pela Central de Ajuda ou que estavam conectados em platform.openai.com. Esses usuários foram identificados na ocasião e já foram notificados.
Isso foi causado por uma vulnerabilidade nos sistemas da OpenAI?
- Não. Este incidente ficou restrito aos sistemas da Mixpanel e não envolveu acesso não autorizado à infraestrutura da OpenAI.
Como posso saber se minha organização ou eu fomos afetados?
- Estamos em processo de notificar os afetados e entraremos em contato com você, ou com o administrador da sua organização, diretamente por e-mail para informá-los.
Algum dos meus dados, prompts ou resultados da API foi afetado?
- Não. O conteúdo do chat, as mensagens, as respostas ou os dados de utilização da API não foram afetados.
As contas do ChatGPT foram afetadas por isso?
- Alguns usuários do ChatGPT que enviaram chamados pela Central de Ajuda ou estavam conectados em platform.api.com podem ter sido afetados. Eles já haviam sido notificados.
Senhas, chaves de API ou informações de pagamento da OpenAI foram expostas?
- Não. Senhas, chaves de API, informações de pagamento, documentos de identidade governamentais e credenciais de acesso à conta da OpenAI não foram afetados. Além disso, confirmamos que os tokens de sessão, tokens de autenticação e outros parâmetros sensíveis dos serviços da OpenAI não foram afetados.
Preciso redefinir minha senha ou rotacionar minhas chaves de API?
- Como as senhas e chaves de API não foram afetadas, não recomendamos a redefinição ou a rotação de chaves em resposta a este incidente.
O que a OpenAI está fazendo para proteger minha privacidade e informações pessoais?
- Obtivemos os conjuntos de dados afetados para revisão independente e continuamos a investigar o impacto potencial, monitorando atentamente quaisquer sinais de uso indevido. Estamos notificando todos os usuários e organizações afetados individualmente e estamos em contato com a Mixpanel para definir as próximas ações.
O Mixpanel foi removido dos produtos da OpenAI?
- Sim.
Devo ativar a autenticação multifator para minha conta?
- Sim. Embora as credenciais ou tokens da conta não tenham sido afetados neste incidente, como prática recomendada de segurança, sugerimos que todos os usuários habilitem a autenticação multifator para proteger ainda mais suas contas. Para empresas e organizações, recomendamos que a autenticação multifator (MFA) seja habilitada na camada de autenticação única (SSO).
Receberei mais atualizações caso algo mude?
- Estamos comprometidos com a transparência e manteremos você informado caso identifiquemos novas informações que afetem materialmente os usuários impactados. Também atualizaremos esta seção de perguntas frequentes.
Existe alguém com quem eu possa entrar em contato caso tenha alguma dúvida?
- Se você tiver dúvidas, preocupações ou problemas de segurança, entre em contato com nossa equipe de suporte pelo endereço mixpanelincident@openai.com.
