OpenAI informuje o incydencie bezpieczeństwa w Mixpanel

OpenAI zamieściło wpis informujący o “incydencie bezpieczeństwa” związanym z platformą Mixpanel – dostawcy usług analitycznych dla produktów OpenAI. Na wstępie podkreślamy ważną informację – nadużycie dotyczyło systemów Mixpanel, którego OpenAI jest klientem. Naruszenie nie dotknęło systemów OpenAI takich jak historia czatów, informacje o wykorzystaniu API, poświadczeń (hasła, klucze API) czy szczegóły transakcji. 

TLDR:

• OpenAI informuje o wycieku z systemu usług analitycznych Mixpanel
• Dane objęte wyciekiem zawierają informacje takie jak imię, nazwisko, adresy e-mail, metadane dotyczące systemu/przeglądarki
• Incydent nie obejmuje wszystkich użytkowników
• Firma zapewnia, że nie doszło do przejęcia danych dotyczących rozmów z czatem czy zapytań do API, a także poświadczeń
• Zakres pozyskanych przez atakującego danych może być wykorzystany do przeprowadzenia celowanych ataków socjotechnicznych

Co się wydarzyło? 9 listopada 2025 Mixpanel stwierdził, że nieznany atakujący uzyskał nieautoryzowany dostęp do części systemów i wyeksportował zestaw danych zawierających okrojone informacje o klientach oraz część danych analitycznych zbieranych przez platformę. 

Zgodnie z udostępnionym oświadczeniem, nieautoryzowany dostęp mógł skutkować wyciekiem takich informacji jak:

• imię/nazwisko powiązane z kontem API
• adres e-mail powiązany z kontem API
• przybliżona lokalizacja (miasto, województwo/stan/region, kraj)
• przeglądarka oraz system operacyjny
• informacje o witrynach odsyłających. 
• identyfikator organizacji/użytkownika skojarzony z kontem API

W wyniku tego incydentu, OpenAI zdecydowało się usunąć Mixpanel ze swoich webaplikacji. Poszkodowani w wycieku użytkownicy zostaną powiadomieni bezpośrednio przez firmę. Na ten moment nie ma dodatkowych informacji, które mogłyby świadczyć o tym, że doszło do przełamania zabezpieczeń innych systemów. 

Jak widać, mimo tego, że mowa o eksporcie danych z systemu analitycznego, to ich zakres jest całkiem pokaźny. OpenAI słusznie wskazuje, że informacje pozyskane z tego wycieku, mogą zostać wykorzystane w celowanych kampaniach phishingowych. Zalecamy więc szczególną ostrożność, zwłaszcza w przypadku wiadomości, które miałyby rzekomo pochodzić od OpenAI. 

Jeśli tego jeszcze nie zrobiliście (chociaż skoro czytacie sekuraka, to jest duże prawdopodobieństwo, że traktujecie tę sprawę jako oczywistość) – włączcie dwuskładnikowe uwierzytelnianie. Niestety na ten moment, firma nie oferuje możliwości skorzystania ze standardu FIDO2 oraz fizycznych kluczy, co trochę obniża skuteczność ochrony (o weryfikację strony, co jest przydatne przy zwalczaniu phishingu). Czasowe kody jednorazowe podnoszą nieznacznie trudność wykonania ataku socjotechnicznego (wymagana jest np. automatyzacja pozyskania sesji – nie jest to element pozostający poza zasięgiem scriptkiddies z dostępem do darmowego LLMa lub wyszukiwarki), jednak nie należy 2FA traktować jako mitygacji tego zagrożenia (co zdaje się sugerować punkt przedstawiony przez OpenAI). Zalecamy też użycie menadżerów haseł wraz z autoryzowanymi integracjami (wtyczkami) do przeglądarek, aby uzupełnienie poświadczeń odbywało się w sposób automatyczny.

~Black Hat Logan