Um ataque à empresa de análise Mixpanel expôs dados de usuários da plataforma de API da OpenAI (platform.openai.com), fazendo com que uma companhia de IA notificasse clientes potencialmente afetados.
O que aconteceu
Um painel de mixagem detectou em 8–9 de novembro uma campanha de smishing que foi testada em acesso não autorizado a parte de seus sistemas e exportação de um conjunto de dados com informações identificáveis e dados analíticos de alguns clientes.
A OpenAI afirma que não houve violação de sua própria infraestrutura e que o incidente ficou restrito ao ambiente do Mixpanel.
Que dados foram expostos
Segundo a OpenAIforam acessados dados de perfil e analíticos ligados a contas da API: nome, e-mail, localização aproximada (cidade, estado, país com base no navegador), sistema operacional, navegador, ID de usuário/organização e site de referência.
Não houve exposição de conversas do ChatGPT, prompts, respostas, dados de uso da API, senhas, chaves de API, credenciais de login, dados de pagamento ou documentos de identidade.
Riscos principais
A OpenAI alerta que essas informações podem ser aproveitadas em ataques de phishing e engenharia social, já que permitem personalizar golpes com nome, e-mail e contexto do usuário.
A Mixpanel afirma ter revogado sessões, trocadas credenciais, IPs bloqueados maliciosos e acionados equipes externas de resposta a incidentes.
Medidas da OpenAI e recomendações ao usuário
A OpenAI removeu o Mixpanel de seus serviços de produção, revisou os conjuntos de dados afetados e está notificando diretamente organizações, administradores e usuários impactados.
Os usuários devem redobrar a atenção com e-mails e mensagens suspeitas, especialmente aqueles que alegam ser da OpenAI ou relacionados à conta da API, verificando encaminhamentos e evitando clicar em links ou fornecer credenciais.
