Únik třetí strany odhalil omezená metadata účtu API
Společnost OpenAI informuje zákazníky o bezpečnostním incidentu, který se týkal společnosti Mixpanel, externího poskytovatele analytických služeb, kterého dříve využívala na frontendu své platformy API. K narušení došlo výhradně v systémech Mixpanelu a ovlivnilo podmnožinu analytických dat propojených s uživatelskými účty API, uvedla společnost. OpenAI zdůraznila, že její vlastní infrastruktura zůstává bezpečná: „Nejednalo se o narušení systémů OpenAI. Nebyl ohrožen ani odhalen žádný chat, požadavky API, data o používání API, hesla, přihlašovací údaje, klíče API, platební údaje ani vládní identifikační údaje.“
Mixpanel poprvé detekoval neoprávněný přístup 9. listopadu 2025. Vyšetřovatelé později potvrdili, že útočník exportoval datovou sadu obsahující metadata identifikovatelná s zákazníkem. Poskytovatel poskytl společnosti OpenAI dotčenou datovou sadu 25. listopadu, což umožnilo podrobné prozkoumání odhalených informací.
Jaká data byla ovlivněna
Kompromitované informace se skládaly především z profilových a analytických údajů spojených s přihlášeními na platform.openai.com. OpenAI informovala zákazníky, že exportované záznamy mohly obsahovat následující:
- Názvy účtů
- E-mailové adresy
- Přibližná poloha odvozená z dat prohlížeče
- Podrobnosti o zařízení
- Odkazující webové stránky
- Identifikátory uživatelů nebo organizací
Společnost uvedla, že nebyly zahrnuty žádné citlivé ověřovací údaje ani obsah API.
Přestože se narušení omezilo na Mixpanel, metadata by stále mohla být zneužita k cílenému phishingu nebo vydávání se za jinou osobu. OpenAI tuto obavu zopakovala ve svém oznámení a varovala, že útočníci mohou vytvářet zprávy, které vypadají důvěryhodně, s použitím odhalených identifikátorů, jako jsou e-mailové adresy a uživatelská jména.
OpenAI přestává používat Mixpanel a rozšiřuje bezpečnostní kontroly dodavatelů
Po incidentu společnost OpenAI odstranila Mixpanel ze všech produkčních prostředí a začala informovat dotčené organizace a administrátory. Společnost uvedla, že nadále monitoruje zneužití a nenašla „žádné důkazy o jakémkoli vlivu na systémy nebo data mimo prostředí Mixpanelu“.
V reakci na narušení bezpečnosti společnost OpenAI ukončila spolupráci se společností Mixpanel a zahájila širší bezpečnostní kontroly v celém ekosystému svých dodavatelů. Společnost uvedla, že zvyšuje bezpečnostní požadavky pro všechny partnery a znovu potvrdila svůj závazek k transparentnosti a ochraně uživatelů.
Uživatelé jsou vyzýváni k posílení ochrany účtů
Společnost OpenAI vyzvala zákazníky API k ostražitosti a poznamenala, že odhalená metadata by mohla podnítit sociálně inženýrské útoky. Společnost doporučila uživatelům, aby s neočekávanými zprávami zacházeli opatrně, ověřovali, zda komunikace pochází z oficiálních domén OpenAI, vyhýbali se sdílení hesel nebo klíčů API a povolili vícefaktorové ověřování (MFA) pro posílení zabezpečení účtů.
Pro další snížení rizika pokusů o zosobnění a ochranu osobních identifikátorů mohou uživatelé zvážit také zavedení specializovaných ochranných nástrojů.
Bitdefender Digital Identity Protection pomáhá monitorovat úniky osobních údajů na webu a upozorní vás, pokud se vaše informace objeví v únicích dat nebo na škodlivých tržištích. V případě podezřelých zpráv nebo potenciálních phishingových pokusů nabízí Bitdefender Scamio snadný způsob, jak zkontrolovat e-maily, odkazy, snímky obrazovky a chaty, zda neobsahují známky podvodu, než s nimi začnete pracovat. Oba nástroje mohou sloužit jako dodatečná ochrana v době, kdy útočníci často zneužívají i omezená metadata jako zbraň.
Zdroj: Bitdefender
