OpenAI раскрыла подробности происшествия: утечка информации без следов хакерской атаки

Сервис веб-аналитики Mixpanel, который использовался OpenAI для сбора статистики на платформе platform.openai.com, допустил утечку данных части пользователей API. После выявления проблемы OpenAI отключила данного подрядчика от своих рабочих систем и начала усиленную проверку всех внешних партнёров.

Как уточняет OpenAI, инцидент связан исключительно с инфраструктурой Mixpanel и никак не затронул внутренние системы компании. Ни взлома OpenAI, ни компрометации чатов, ключей, паролей или других конфиденциальных данных не было. Утечке подверглись только отдельные аналитические сведения.

По информации OpenAI, 9 ноября 2025 года Mixpanel обнаружил, что неизвестный получил доступ к некоторым их системам и смог выгрузить набор аналитических данных клиентов. В тот же день компания уведомила OpenAI о расследовании произошедшего, а 25 ноября передала копию затронутого массива данных, чтобы определить масштаб инцидента.

В выгруженной информации могли присутствовать: имя владельца API-аккаунта, адрес электронной почты, приблизительные данные о местоположении (город, регион, страна) на основе браузерной информации, тип ОС и браузера, реферальные источники, а также идентификаторы пользователя или организации. Эти сведения Mixpanel собирал в рамках своей аналитики для интерфейса платформы OpenAI.

При этом данные, связанные с содержимым диалогов, промптами, ответами моделей, логами использования API, а также платёжные данные, государственные идентификаторы, пароли, токены доступа, API-ключи и другие чувствительные элементы OpenAI не покидали её собственные серверы. OpenAI подчёркивает, что такие параметры не были затронуты.

В ответ на происшествие компания полностью отключила Mixpanel от продуктивной среды, начала анализ извлечённых данных и проводит проверки всей цепочки поставщиков. После пересмотра требований к безопасности OpenAI отказалась от дальнейшего использования Mixpanel и сообщила о повышении стандартов к своим подрядчикам.

Организации, администраторы и отдельные пользователи, чьи данные могли оказаться в слитом датасете, уже получают адресные уведомления. Хотя признаков злоупотребления этими сведениями за пределами инфраструктуры Mixpanel пока нет, OpenAI продолжает отслеживать ситуацию.

Главная потенциальная угроза для затронутых пользователей — фишинг и попытки социальной инженерии, поскольку злоумышленники могут использовать реальные имена, email и некоторые метаданные аккаунта. OpenAI просит внимательно относиться к неожиданным письмам и сообщениям, особенно содержащим ссылки или вложения, и всегда проверять домены отправителей. Компания подчёркивает, что никогда не запрашивает пароли, API-ключи, коды подтверждения или другие данные доступа по электронной почте, SMS или в чате.

Дополнительно пользователям рекомендуется включить многофакторную аутентификацию в аккаунте OpenAI, а организациям — обеспечить MFA на уровне единого входа. Компания заверяет, что защита данных остаётся её приоритетом, и обещает оперативно информировать пользователей, если появятся новые важные детали инцидента.