Những điều cần biết về sự cố bảo mật Mixpanel gần đây

Nội dung giải thích ngày 19 tháng 12 năm 2025: Chúng tôi đang cập nhật blog để làm rõ mô tả về những người dùng bị ảnh hưởng. Blog gốc đã nêu rằng “người dùng API” đã bị ảnh hưởng. Nội dung này hiện được cập nhật để bổ sung: “Nó cũng ảnh hưởng đến một số lượng giới hạn người dùng ChatGPT đã gửi phiếu hỗ trợ hoặc đã đăng nhập vào platform.openai.com⁠(mở trong cửa sổ mới).” Tất cả người dùng bị ảnh hưởng đã được xác định và thông báo cùng lúc như một phần của việc tiếp cận ban đầu với người dùng. Ngoài sự làm rõ này, không có gì khác về sự hiểu biết của chúng tôi về sự cố, bao gồm loại thông tin liên quan, đã thay đổi. 

Tính minh bạch rất quan trọng đối với chúng tôi, vì vậy chúng tôi muốn thông báo cho bạn về một sự cố bảo mật gần đây tại Mixpanel, một nhà cung cấp phân tích dữ liệu mà OpenAI đã sử dụng cho phân tích web trên giao diện tương tác người dùng cho sản phẩm API của chúng tôi (platform.openai.com⁠(mở trong cửa sổ mới)). 

Sự cố xảy ra trong hệ thống của Mixpanel và về dữ liệu phân tích giới hạn liên quan đến một số người dùng của API. Nó cũng ảnh hưởng đến một số lượng giới hạn người dùng ChatGPT đã gửi phiếu yêu cầu hỗ trợ hoặc đã đăng nhập vào platform.openai.com.

Điều này không phải là vi phạm trong hệ thống của OpenAI. Không có cuộc trò chuyện, yêu cầu API, dữ liệu sử dụng API, mật khẩu, thông tin đăng nhập, Khóa API, chi tiết thanh toán, hoặc ID chính phủ nào bị xâm phạm hoặc bị lộ ra ngoài.

Điều gì đã xảy ra

Vào ngày 9 tháng 11 năm 2025, Mixpanel đã phát hiện ra một kẻ tấn công đã truy cập trái phép vào một phần hệ thống của họ và xuất một tập dữ liệu chứa thông tin nhận dạng khách hàng giới hạn và thông tin phân tích. Mixpanel đã thông báo cho OpenAI rằng họ đang điều tra, và vào ngày 25 tháng 11 năm 2025, họ đã chia sẻ tập dữ liệu bị ảnh hưởng với chúng tôi. 

Điều này có ý nghĩa gì đối với những người dùng bị ảnh hưởng

Thông tin hồ sơ người dùng liên quan đến việc sử dụng platform.openai.com⁠(mở trong cửa sổ mới) có thể đã có trong phần dữ liệu xuất từ Mixpanel. Thông tin có thể đã bị ảnh hưởng chỉ giới hạn ở:

• Tên đã được cung cấp cho chúng tôi trên tài khoản 
• Địa chỉ email liên kết với tài khoản
• Vị trí gần đúng dựa trên trình duyệt của người dùng (thành phố, tiểu bang, quốc gia)
• Hệ điều hành và trình duyệt được sử dụng để truy cập tài khoản.
• Trang web giới thiệu
• ID tổ chức hoặc ID người dùng được liên kết với tài khoản

Phản ứng của chúng tôi  

Là một phần của cuộc điều tra an ninh, chúng tôi đã loại bỏ Mixpanel khỏi các dịch vụ sản xuất của mình, xem xét các tập dữ liệu bị ảnh hưởng và đang làm việc chặt chẽ với Mixpanel và các đối tác khác để hiểu rõ hoàn toàn về sự cố và phạm vi của nó. Chúng tôi đang trong quá trình thông báo trực tiếp cho các tổ chức bị ảnh hưởng, quản trị viên và người dùng. Mặc dù chúng tôi không tìm thấy bằng chứng nào về bất kỳ ảnh hưởng nào đến hệ thống hoặc dữ liệu ngoài môi trường của Mixpanel, chúng tôi vẫn tiếp tục giám sát chặt chẽ để phát hiện bất kỳ dấu hiệu nào của việc sử dụng sai mục đích. 

Niềm tin, bảo mật và quyền riêng tư là nền tảng cho các sản phẩm, tổ chức và sứ mệnh của chúng tôi. Chúng tôi cam kết minh bạch và đang thông báo cho tất cả các khách hàng và người dùng bị ảnh hưởng. Chúng tôi cũng yêu cầu các đối tác và nhà cung cấp của mình phải chịu trách nhiệm với tiêu chuẩn cao nhất về bảo mật và quyền riêng tư của dịch vụ của họ. Sau khi xem xét sự cố này, OpenAI đã chấm dứt sử dụng Mixpanel. 

Ngoài Mixpanel, chúng tôi đang thực hiện các đánh giá bảo mật bổ sung và mở rộng trên toàn bộ hệ sinh thái nhà cung cấp của mình và đang nâng cao các yêu cầu bảo mật cho tất cả các đối tác và nhà cung cấp.

Những điều bạn nên ghi nhớ  

Thông tin có thể đã bị ảnh hưởng ở đây có thể được sử dụng như một phần của các cuộc tấn công lừa đảo hoặc kỹ thuật xã hội chống lại bạn hoặc tổ chức của bạn. 

Vì tên, địa chỉ email và siêu dữ liệu API của OpenAI (ví dụ: ID người dùng)  đã được bao gồm, chúng tôi khuyến khích bạn luôn cảnh giác với các nỗ lực lừa đảo hoặc thư rác có vẻ đáng tin cậy. Xin nhắc lại:

• Hãy thận trọng với các email hoặc tin nhắn bất ngờ, đặc biệt nếu chúng có chứa liên kết hoặc tệp đính kèm.
• Kiểm tra kỹ rằng bất kỳ tin nhắn nào tuyên bố là từ OpenAI đều được gửi từ một miền chính thức của OpenAI.
• OpenAI không yêu cầu mật khẩu, Khóa API, hoặc mã xác minh qua email, tin nhắn, hoặc cuộc trò chuyện.
• Bảo vệ tài khoản của bạn hơn nữa bằng cách bật xác thực đa yếu tố⁠(mở trong cửa sổ mới). 

Bảo mật và quyền riêng tư của sản phẩm của chúng tôi là tối quan trọng, và chúng tôi luôn kiên định trong việc bảo vệ thông tin của bạn và truyền đạt minh bạch khi có vấn đề phát sinh. Cảm ơn bạn đã tiếp tục tin tưởng chúng tôi. 

OpenAI

Câu hỏi thường gặp

Tại sao OpenAI từng sử dụng Mixpanel?

• Mixpanel được sử dụng như một nhà cung cấp phân tích web bên thứ ba để giúp chúng tôi hiểu cách sử dụng sản phẩm và cải thiện dịch vụ của chúng tôi cho sản phẩm API (platform.openai.com). Một số lượng giới hạn người dùng ChatGPT đã nộp phiếu thông qua trung tâm trợ giúp hoặc đã đăng nhập vào platform.openai.com có thể đã có thông tin được mô tả ở trên được Mixpanel ghi lại. Những người dùng này đã được xác định vào thời điểm đó và đã được thông báo.

Điều này có phải do một lỗ hổng trong hệ thống của OpenAI gây ra không?

• Không. Sự cố này chỉ giới hạn trong hệ thống của Mixpanel và không liên quan đến việc truy cập trái phép vào cơ sở hạ tầng của OpenAI.

Làm thế nào để tôi biết liệu tổ chức của tôi hoặc tôi có bị ảnh hưởng không?

• Chúng tôi đang trong quá trình thông báo cho những người bị ảnh hưởng và sẽ liên hệ trực tiếp với bạn hoặc quản trị viên tổ chức của bạn qua email để thông báo.

Dữ liệu API, lời nhắc hoặc đầu ra của tôi có bị ảnh hưởng không?

• Không. Nội dung cuộc trò chuyện, lời nhắc, phản hồi hoặc dữ liệu sử dụng API không bị ảnh hưởng.

Các tài khoản ChatGPT có bị ảnh hưởng bởi điều này không?

• Một số người dùng ChatGPT đã gửi phiếu hỗ trợ qua trung tâm trợ giúp hoặc đã đăng nhập vào platform.api.com có thể đã bị ảnh hưởng. Họ đã được thông báo trước đó.

Mật khẩu OpenAI, khóa API, hoặc thông tin thanh toán có bị lộ không?

• Không. Mật khẩu OpenAI, Khóa API, thông tin thanh toán, giấy tờ tùy thân từ chính phủ và thông tin đăng nhập tài khoản không bị ảnh hưởng. Ngoài ra, chúng tôi đã xác nhận rằng các token phiên, token xác thực và các tham số nhạy cảm khác cho các dịch vụ của OpenAI không bị ảnh hưởng.

Tôi có cần thiết lập lại mật khẩu của mình hoặc xoay vòng khóa API của mình không?

• Vì mật khẩu và khóa API không bị ảnh hưởng, chúng tôi không khuyến nghị thiết lập lại hoặc xoay vòng khóa để đối phó với sự cố này.

Bạn đang làm gì để bảo vệ thông tin cá nhân và quyền riêng tư của tôi?

• Chúng tôi đã thu thập được các tập dữ liệu bị ảnh hưởng để xem xét độc lập và đang tiếp tục điều tra tác động tiềm năng, đồng thời giám sát chặt chẽ để phát hiện bất kỳ dấu hiệu sử dụng sai mục đích nào. Chúng tôi đang thông báo cho tất cả người dùng và tổ chức bị ảnh hưởng riêng lẻ và đang liên hệ với Mixpanel về các hành động ứng phó tiếp theo.

Mixpanel đã bị loại bỏ khỏi các sản phẩm của OpenAI phải không?

• Phải. 

Bạn có nên cho phép xác thực đa yếu tố cho tài khoản của mình không?

• Có. Mặc dù thông tin đăng nhập tài khoản hoặc token không bị ảnh hưởng trong sự cố này, như một biện pháp kiểm soát bảo mật tốt nhất, chúng tôi khuyến nghị tất cả người dùng cho phép xác thực đa yếu tố để bảo vệ tài khoản của họ tốt hơn. Đối với các doanh nghiệp và tổ chức, chúng tôi khuyến nghị rằng Xác thực đa yếu tố (MFA) được cho phép tại lớp Đăng nhập một lần. 

Bạn có nhận được thông báo cập nhật nếu có thay đổi không?

• Chúng tôi cam kết minh bạch và sẽ thông báo cho bạn nếu chúng tôi phát hiện thông tin mới ảnh hưởng đáng kể đến người dùng bị ảnh hưởng. Chúng tôi cũng sẽ cập nhật mục Các câu hỏi thường gặp. 

Tôi có thể liên hệ ai nếu có thắc mắc?

• Nếu bạn có câu hỏi, thắc mắc hoặc vấn đề về bảo mật, bạn có thể liên hệ với nhóm hỗ trợ của chúng tôi theo địa chỉ mixpanelincident@openai.com⁠.