Il 9 novembre 2025 un hacker ha ottenuto accesso non autorizzato ai sistemi di Mixpanel, società di analisi dati utilizzata da OpenAI per tracciare l'uso della piattaforma API su platform.openai.com. L'intruso ha esportato un dataset contenente informazioni identificative limitate di alcuni utenti. Mixpanel ha notificato OpenAI lo stesso giorno e ha condiviso il dataset completo il 25 novembre. OpenAI ha reso pubblico l'incidente il 26 novembre 2025, ha terminato immediatamente l'uso di Mixpanel e sta notificando direttamente tutti gli utenti e le organizzazioni coinvolte. Gli utenti di ChatGPT e altri prodotti consumer non sono stati colpiti. Il breach non ha riguardato i sistemi di OpenAI.
I dati esposti includono: nome fornito sull'account API, indirizzo email associato all'account, posizione approssimativa basata sul browser (città, stato, paese), sistema operativo e browser utilizzati per accedere all'account, siti web di provenienza, ID organizzazione o utente collegati all'account. OpenAI ha precisato che nessun contenuto di chat, nessuna richiesta API, nessun dato di utilizzo API, nessuna password, credenziale, chiave API, dettaglio di pagamento o documento d'identità governativo è stato compromesso o esposto.
La timeline dell'incidente mostra ritardi nella comunicazione. Mixpanel ha scoperto l'accesso non autorizzato il 9 novembre, ma ha condiviso il dataset con OpenAI solo il 25 novembre, sedici giorni dopo. OpenAI ha poi impiegato un giorno per analizzare i dati e rendere pubblico l'incidente il 26 novembre. Gli utenti hanno iniziato a ricevere email di notifica il 27 novembre. Troy Hunt, esperto di sicurezza noto per aver creato Have I Been Pwned, ha pubblicato su X uno screenshot dell'email ricevuta da OpenAI.
OpenAI ha risposto rimuovendo Mixpanel da tutti i servizi in produzione, rivedendo i dataset coinvolti e lavorando con Mixpanel e altri partner per comprendere la portata completa dell'incidente. L'azienda ha dichiarato di non aver trovato evidenze di impatto su sistemi o dati al di fuori dell'ambiente Mixpanel, ma continua a monitorare attentamente per segni di uso improprio. La decisione più drastica è stata la cessazione immediata del contratto con Mixpanel.
Oltre alla chiusura del rapporto con Mixpanel, OpenAI ha annunciato revisioni di sicurezza aggiuntive ed estese su tutto l'ecosistema di fornitori esterni, con l'innalzamento dei requisiti di sicurezza per tutti i partner e vendor. Un portavoce ha dichiarato: "Fiducia, sicurezza e privacy sono fondamentali per i nostri prodotti, la nostra organizzazione e la nostra missione. Siamo impegnati alla trasparenza e stiamo notificando tutti i clienti e utenti coinvolti. Riteniamo anche i nostri partner e fornitori responsabili del massimo livello di sicurezza e privacy dei loro servizi".
Il rischio principale ora è il phishing e il social engineering. Le informazioni esposte – nomi, email, ID utente – possono essere utilizzate per costruire attacchi mirati credibili. OpenAI ha raccomandato agli utenti di: trattare con cautela email o messaggi inaspettati, specialmente se contengono link o allegati; verificare che qualsiasi messaggio che dichiara di provenire da OpenAI sia inviato da un dominio ufficiale OpenAI; ricordare che OpenAI non richiede mai password, chiavi API o codici di verifica tramite email, testo o chat; abilitare l'autenticazione a due fattori per proteggere ulteriormente l'account.
Andrew Hatfield, analista di sicurezza, ha commentato su X: "OpenAI dice che non è stato il loro breach. Tecnicamente corretto. Strategicamente irrilevante. I tuoi dati sono stati comunque compromessi attraverso il loro ecosistema di fornitori. Ecco cosa è realmente successo: il JavaScript di Mixpanel era incorporato nel frontend di platform.openai.com. Ogni login, ogni azione...". Il commento sottolinea una questione più ampia: quando un'azienda si affida a fornitori terzi per funzionalità critiche, la responsabilità della sicurezza non scompare. Gli utenti non distinguono tra un breach diretto e uno mediato da un vendor.
Mixpanel ha rilasciato una dichiarazione separata confermando l'incidente e affermando di aver "preso misure comprensive per contenere ed eradicare l'accesso non autorizzato e mettere in sicurezza gli account utente coinvolti. Abbiamo coinvolto partner esterni di cybersecurity per rimediare e rispondere all'incidente". Non è chiaro quanti utenti siano stati colpiti. OpenAI non ha fornito numeri precisi, limitandosi a dire che sta notificando "tutte le organizzazioni, gli amministratori e gli utenti individualmente coinvolti".
L'incidente arriva in un momento delicato per OpenAI, che sta espandendo rapidamente la sua presenza commerciale con partnership come quella con Target per lo shopping basato su AI e con governi come quello greco per l'implementazione nelle scuole. La sicurezza dei dati è un pilastro della fiducia necessaria per queste espansioni. Un breach, anche se tecnicamente esterno, mina quella fiducia.
Alla fine, resta una domanda pratica: gli utenti dovrebbero cambiare password o ruotare chiavi API? OpenAI ha risposto no, specificando che non raccomanda queste azioni perché il breach non ha compromesso credenziali o chiavi. Tuttavia consiglia fortemente di abilitare l'autenticazione a due fattori. Per le organizzazioni, raccomanda di abilitare MFA a livello di single sign-on. Gli utenti con domande possono contattare mixpanelincident@openai.com.
OpenAI chiude Mixpanel dopo il furto di dati: esposti nomi ed email degli utenti API
Un hacker ha esportato dataset con informazioni personali il 9 novembre. OpenAI notificata il 25, ha terminato il contratto e rivede tutti i fornitori esterni. Nessun dato sensibile compromesso.
Condividi:
•
4 min di lettura