OpenAI ha reso noto un incidente di sicurezza che ha coinvolto Mixpanel, fornitore esterno utilizzato per la raccolta di statistiche d’uso sulla piattaforma API (platform.openai.com). L’episodio riguarda esclusivamente i sistemi di Mixpanel e non rappresenta una violazione dell’infrastruttura OpenAI. Il problema ha interessato un insieme limitato di dati analitici relativi agli utenti API. Nessuna informazione sensibile, nessun contenuto dei modelli e nessuna credenziale è stata esposta.
L’incidente
Il 9 novembre 2025 Mixpanel ha individuato un accesso non autorizzato ai propri sistemi. L’attaccante ha esportato un dataset contenente informazioni identificative e dati di analytics. OpenAI è stata avvisata immediatamente e il 25 novembre ha ricevuto il dataset per analizzarne il contenuto. Da quanto emerso, i dati sottratti non includono elementi appartenenti ai sistemi OpenAI. Non risultano esposti contenuti generati dagli utenti, richieste API, password, API key, metodi di pagamento, documenti di identità o parametri di sessione.
Quali dati possono essere stati coinvolti
I dati interessati erano raccolti da Mixpanel a fini statistici. La natura delle informazioni è limitata e riguarda Nome, indirizzo email e ID utente/organizzazione associati all’account API, Informazioni tecniche su browser, sistema operativo e referrer. Una localizzazione approssimativa, ricavata dal browser (città, stato, Paese). Non sono stati coinvolti gli account ChatGPT né altri prodotti OpenAI diversi dall’interfaccia API.
La risposta di OpenAI
OpenAI ha eliminato Mixpanel dai propri ambienti di produzione e ha avviato un’analisi completa dei dati compromessi. Sono in corso le notifiche dirette agli utenti e alle organizzazioni coinvolte. La società segnala di non aver riscontrato impatti su sistemi o dati esterni all’ambiente Mixpanel, pur continuando a monitorare potenziali tentativi di uso improprio delle informazioni. La collaborazione con Mixpanel è stata interrotta e sono in atto verifiche più ampie su tutti i fornitori esterni, con requisiti di sicurezza più stringenti.
I rischi per gli utenti
Il principale rischio riguarda possibili tentativi di phishing o social engineering, facilitati dalla combinazione tra nome, email e identificativi degli account API. OpenAI invita a prestare particolare attenzione a email inattese che contengono link o allegati, verificando sempre che eventuali comunicazioni provengano da domini ufficiali. L’azienda ricorda inoltre che non richiede mai password, API key o codici di verifica tramite email, chat o SMS. L’abilitazione della multi-factor authentication rimane una misura consigliata per tutti gli utenti, sebbene l’incidente non abbia coinvolto credenziali o token.
