OpenAI ha terminato la sua partnership con la società di analisi Mixpanel a seguito di a violazione dei dati che ha esposto le informazioni personali degli sviluppatori utilizzando la sua piattaforma API. L’incidente, che OpenAI ha reso pubblico il 27 novembre 2025, deriva da un’intrusione non autorizzata nei sistemi di Mixpanel il 9 novembre 2025. Sebbene Mixpanel abbia avvisato OpenAI dell’indagine poco dopo la violazione, il set di dati specifico che conferma l’esposizione dei profili degli sviluppatori OpenAI non è stato condiviso fino al 25 novembre 2025.
La violazione è strettamente limitata agli utenti di platform.openai.coml’ambiente in cui gli sviluppatori creano e gestiscono applicazioni utilizzando i modelli di OpenAI. OpenAI ha esplicitamente confermato che l’incidente non ha toccato la sua stessa infrastruttura o il servizio ChatGPT rivolto al consumatore.
Le credenziali di sicurezza critiche, tra cui password, chiavi API, informazioni di pagamento e ID governativi, rimangono al sicuro. Tuttavia, il set di dati trapelato contiene metadati che potrebbero essere utilizzati come arma per attacchi mirati di ingegneria sociale. I campi esposti includono nomi e indirizzi e-mail associati ad account API, ID organizzazione, ID utente, dettagli del browser e del sistema operativo, siti Web di riferimento e dati grossolani sulla posizione derivati dalle sessioni del browser.
In risposta al fallimento del fornitore, OpenAI ha rimosso Mixpanel dai suoi servizi di produzione e sta conducendo una revisione approfondita della sicurezza dell’intero ecosistema di terze parti. Sebbene la violazione non abbia compromesso i token di autenticazione, OpenAI consiglia a tutti gli utenti di abilitare l’autenticazione a più fattori (MFA) come difesa precauzionale contro futuri tentativi di credential stuffing o di phishing che potrebbero sfruttare i dati del profilo trapelati. Questo evento sottolinea le vulnerabilità della catena di fornitura inerenti alla scalabilità delle piattaforme software; anche quando la fortezza di un’azienda primaria è sicura, i fornitori di analisi e servizi di terze parti integrati nel loro stack possono fungere da backdoor aperte per l’esfiltrazione dei dati.
