Baza podataka Mixpanela kompromitovana je 9. novembra 2025, što je dovelo do curenja imena, mejlova i približne lokacije dela Open AI API korisnika.
ChatGPT, API ključevi i lozinke nisu pogođeni. Open AI je odmah uklonio Mixpanel i obaveštava sve ugrožene korisnike.
Open AI je saopštio da je napad pogodio isključivo Mixpanel, analitički servis korišćen za frontend platform.openai.com. U pitanju nije bio upad u Open AI infrastrukturu, pa tako nema kompromitovanih API ključeva, lozinki, chat sadržaja, plaćanja ni dokumenata.
Foto: Pink.rs
Evo šta je sve kompromitovano
Mixpanel je otkrio da je napadač uspeo da eksportuje ograničen set podataka, koji je kasnije podeljen s Open AI-jem radi istrage. U pitanju su: ime i prezime sa API naloga, email adresa, približna lokacija (grad, država, zemlja), operativni sistem, browser, referrer sajtovi i organizacioni ili korisnički ID brojevi.
Do sada nema dokaza o zloupotrebi ili prodoru van Mixpanel okruženja.
OpenAI prekida saradnju sa Mixpanelom
Čim je dataset dostavljen, Open AI je uklonio Mixpanel iz produkcije i započeo opsežnu reviziju svih eksternih vendora. Kompanija tvrdi da su svi pogođeni admini, organizacije i korisnici u procesu obaveštavanja, a interni sigurnosni tim dodatno prati moguće anomalije.
Najavljeno je i podizanje bezbednosnih standarda prema svim partnerima, kako bi se sprečila slična ranjivost u budućnosti.
Preporuke korisnicima šta da urade
Iako ključni podaci nisu izvučeni, kombinacija imena, emaila i ID brojeva može poslužiti za fišing i socijalni inženjering.
Open AI savetuje korisnicima:
- oprez sa neočekivanim mejlovima i linkovima,
- proveru domena pošiljalaca,
- nikada ne deliti lozinke, API ključeve i MFA kodove,
- obavezno uključiti multifaktorsku autentikaciju.
OpenAI ne preporučuje reset lozinki ili rotaciju API ključeva, jer oni nisu bili deo kompromitovanog seta.
Autor: Iva Besarabić
