Um ataque de sorrindo contra funcionários da Mixpanel tiveram acesso não autorizado a parte de seus sistemas em 8–9 de novembro de 2025, afetando um número limitado de clientes corporativos, entre eles a OpenAI. A OpenAI confirmou que o incidente ocorreu exclusivamente na infraestrutura do Mixpanel, usada para análise no frontend de platform.openai.com, e não em seus próprios sistemas.
Que dados foram expostos
Segundo a OpenAI, o invasor exportou um conjunto de dados com informações de perfil e análises associadas a alguns usuários da API, incluindo: nome, endereço de e-mail, localização aproximada (cidade/estado/país) baseada no navegador, sistema operacional, navegador, ID de usuário/organização e site de referência. Não houve exposição de conteúdo de chats do ChatGPT, prompts, respostas, dados de uso da API, senhas, chaves de API, credenciais de conta, dados de pagamento ou documentos de identidade.
Quem foi impactado
Ó incidente afeta apenas usuários da plataforma de API (platform.openai.com); usuários do ChatGPT e outros produtos não foram impactados. Tanto o Mixpanel quanto a OpenAI informam que os clientes só são considerados afetados se receberem notificação direta; quem não recebeu comunicação é tratada como não impactada.
Riscos e próximos passos
A principal preocupação é o uso dessas informações em ataques de phishing e engenharia social mais convincentes, explorando nome, e-mail e contexto técnico dos usuários. Em resposta, a OpenAI removeu o Mixpanel de todos os ambientes de produção, fechou a parceria, elevou requisitos de segurança para terceiros e segue monitorando sinais de possível mau uso dos dados.
Recomendações para usuários
- Fique atento a e-mails/SMS que aleguem ser da OpenAI ou sobre a conta/API, verificando comentários e evitando clicar em links ou fornecer códigos/senhas.
- Ativar 2FA em contas OpenAI e demais serviços críticos e nunca envios, chaves de API ou códigos de verificação por e-mail, SMS ou chat
