Mixpanel | Кршење података код добављача услуга OpenAI (ChatGPT): Да ли су ваши подаци о е-пошти и налогу погођени?

Безбедносна рањивост на platform.openai.com: Шта корисници API-ја хитно треба да знају сада

Транспарентност и безбедност података су кључни у свету вештачке интелигенције. OpenAI тренутно обавештава своје кориснике о безбедносном инциденту који, иако не утиче на његову основну инфраструктуру, утиче на обраду података екстерног партнера. У сржи проблема је неовлашћени приступ системима независног добављача Mixpanel, што има последице по кориснике OpenAI платформе.

Шта је Mixpanel и како је повезан са OpenAI-јем?

Микспанел је широко коришћени добављач услуга за пословну аналитику и анализу корисничких података. Компаније интегришу Микспанел у своје веб странице или апликације како би разумеле како корисници интерагују са њиховим производима - на пример, на која дугмад се кликне или са које веб странице долази посетилац.
ОпенАи је посебно користио ову услугу за фронтенд аналитику своје АПИ платформе (platform.openai.com). То значи да је, како би побољшао кориснички интерфејс за програмере и пословне кориснике, ОпенАи преносио одређене податке о коришћењу и метаподатке компанији Микспанел на анализу.

Безбедносна рањивост у системском окружењу Mixpanel-а омогућила је нападачима да извезу скуп података који садржи информације о корисницима OpenAI-а. Иако OpenAI наглашава да су критични елементи као што су лозинке, API кључеви и садржај ћаскања остали безбедни, идентификационе информације попут имејл адреса и имена су биле откривене. Као директна последица тога, OpenAI је прекинуо сарадњу са Mixpanel-ом са тренутним дејством.

Следећа анализа детаљно описује који су подаци погођени, зашто се ризик од напада друштвеним инжењерингом сада повећава и како је OpenAI реаговао на овај инцидент.

Увод и основна контекстуализација догађаја

Каква је ово врста инцидента, генерално говорећи?

Дотични инцидент је кршење безбедности, али не утиче директно на основне системе компаније OpenAI; већ је у питању спољни добављач услуга. Конкретно, реч је о кршењу безбедности података код компаније Mixpanel, добављача аналитике података. OpenAI је користио овог добављача за обављање веб аналитике на фронтенд интерфејсу свог API производа, доступном на platform.openai.com. До кршења је дошло унутар системског окружења компаније Mixpanel и резултирало је тиме да је неовлашћена трећа страна добила приступ одређеним скуповима података.

Зашто се уопште извештава о овом инциденту?

Комуникација око овог инцидента проистиче из жеље за транспарентношћу. Транспарентност је експлицитно наглашена као висок приоритет. Из тог разлога је одлучено да се корисници обавесте о инциденту, иако напад није директно усмерио системе OpenAI-а. Циљ је проактивно обавестити погођене о потенцијалном излагању њихових података, чак и ако се ризик сматра ограниченим.

Како треба разумети однос између OpenAI и Mixpanel-а у овом контексту?

У овом сценарију, Mixpanel је деловао као трећа страна. Улога Mixpanel-а је била да пружи аналитичке услуге за кориснички интерфејс OpenAI API-ја. То значи да је OpenAI преносио одређене податке Mixpanel-у или је Mixpanel прикупљао одређене податке како би боље разумео или оптимизовао коришћење веб странице platform.openai.com. Стога је постојао пословни однос у којем је обрада података препуштена спољном партнеру.

Детаљна анализа секвенце и временског оквира напада

Када се тачно инцидент догодио и када је примећен?

Кључни дан за откривање напада био је 9. новембар 2025. године. Тог датума, Mixpanel је постао свестан да је нападач добио неовлашћени приступ деловима његових система. Ово означава почетак интерне истраге Mixpanela и почетну тачку ланца догађаја који су довели до овог обавештења.

Како и када је OpenAI обавештен о инциденту?

Након што је Mixpanel открио напад 9. новембра 2025. године, OpenAI је обавештен да је покренута истрага. Међутим, прошло је неко време пре него што су дати конкретни детаљи о обиму кршења података. Тек 25. новембра 2025. године, Mixpanel је поделио одређени скуп података на који је напад утицао са OpenAI. Дакле, прошло је отприлике 16 дана између откривања напада и конкретне идентификације погођених података OpenAI-а.

Шта је тачно нападач урадио током овог инцидента?

Нападач је не само добио приступ системима, већ је и украо податке. Текст описује како је скуп података извезен. Овај извоз је садржао ограничене информације о идентификацији купаца, као и аналитичке податке. Стога, ово није био само упад у систем, већ активна крађа података који су уклоњени из окружења Mixpanel-а.

Разграничење погођених система

Да ли су системи компаније OpenAI угрожени?

Ово је једно од најважнијих питања у вези са проценом ризика. Одговор је јасно не. Експлицитно је наведено да ово није био продор у системе OpenAI-ја. Интегритет сопствене инфраструктуре OpenAI-ја остао је нетакнут. Инцидент је био ограничен искључиво на окружење добављача услуга Mixpanel. Нема доказа да је нападач добио приступ интерним мрежама или серверима OpenAI-ја изван Mixpanel-а.

Који критични подаци дефинитивно нису погођени?

Да би се проценила озбиљност инцидента, важно је размотрити шта је безбедно. Потврђено је да ниједна историја ћаскања није погођена. API захтеви, односно садржај онога што су корисници послали интерфејсу, такође су безбедни. Слично томе, нису угрожени подаци о коришћењу API-ја. Што је кључно за безбедност налога, нису откривене лозинке или подаци за пријаву. API кључеви, неопходни за технички рад услуга, такође су остали непромењени. Финансијске информације, као што су подаци о плаћању, нису украдене. Коначно, владини идентификациони документи који су можда коришћени у сврху верификације нису део процурелог скупа података.

Специфична истрага погођених категорија података

Које врсте информација могу бити садржане у извезеном скупу података?

Погођени скуп података садржи информације о профилима корисника повезаних са коришћењем сајта platform.openai.com. Ово је мешавина личних идентификатора и техничких метаподатака који се обично генеришу током веб аналитике.

Да ли је име корисника погођено?

Да, име сачувано у API налогу је било део података који су можда извезени. Ово се односи на име које нам је достављено, OpenAI, за налог. Ово је директан идентификатор који омогућава да се погођени налог повеже са стварним или правним лицем.

Да ли је адреса е-поште угрожена?

Да, имејл адреса повезана са API налогом је такође међу погођеним подацима. Комбинација имена и имејл адресе већ представља значајан скуп података, јер омогућава директан контакт и идентификацију корисника.

Које информације везане за локацију су погођене?

Подаци о приближној локацији корисника су извезени. Ови подаци о локацији се заснивају на прегледачу корисника API-ја. Тачност ових података је описана као приближна и обично укључује град, државу или регион и земљу. Ово нису прецизне GPS координате или тачна адреса становања, већ извођење локације из техничких података о вези током коришћења платформе.

Који су подаци о техничком систему откривени?

Скуп података је садржао информације о оперативном систему и прегледачу који се користи за приступ API налогу. Ове информације, често називане подацима корисничког агента, откривају да ли корисник користи, на пример, Windows, macOS или Linux, и да ли користи Chrome, Firefox или Safari. Ови подаци су стандардни за аналитичке сервисе како би се оптимизовале перформансе веб странице.

Шта су референтни веб-сајтови у овом контексту?

Погођени подаци такође укључују информације о такозваним референтним веб-сајтовима. То су веб-сајтови са којих је корисник приступио OpenAI платформи. Стога, ако је корисник кликнуо на линк на другој страници да би дошао на platform.openai.com, ова пореклна адреса би могла бити сачувана у подацима Mixpanel-а и стога бити део извезеног скупа података.

Да ли су украдени интерни идентификациони бројеви?

Да, укључени су и ИД-ови организација или ИД-ови корисника повезани са API налогом. Ови ИД-ови су интерни идентификатори које OpenAI користи за управљање налозима и организацијама у оквиру својих система. Иако често сами по себи не откривају осетљиве информације, они су важни метаподаци који одражавају структуру корисничке базе.

Наша стручност у САД у развоју пословања, продаји и маркетингу - Слика: Xpert.Digital

Фокус индустрије: B2B, дигитализација (од AI до XR), машинство, логистика, обновљиви извори енергије и индустрија

Више информација овде:

• Експертски пословни центар

Тематски центар који нуди увиде и стручност:

• Платформа знања која покрива глобалне и регионалне економије, иновације и трендове специфичне за индустрију
• Збирка анализа, увида и основних информација из наших кључних области фокуса
• Место за стручност и информације о актуелним дешавањима у пословању и технологији
• Чвориште за компаније које траже информације о тржиштима, дигитализацији и иновацијама у индустрији

Мере и реакције од стране OpenAI-а

Какав је био непосредни технички одговор на инцидент?

Као део безбедносне истраге, OpenAI је предузео драстичне мере. Mixpanel је уклоњен из производних сервиса. То значи да је веза са овим добављачем услуга прекинута и да се Mixpanel-у не шаљу даљи подаци. Ово је урађено како би се одмах обуздао ризик и осигурало да не би могло доћи до цурења даљих података док је истрага у току.

Како је поступано са погођеним подацима?

OpenAI је темељно прегледао погођене скупове података које је Mixpanel поделио 25. новембра. Било је неопходно прецизно анализирати које информације садрже како би се тачно проценио обим инцидента. Ова анализа је чинила основу за комуникацију са купцима.

Да ли постоји нека сарадња како би се разјаснила ситуација?

Да, тесно сарађујемо са Mixpanel-ом и другим партнерима. Циљ ове сарадње је да се у потпуности разуме инцидент. Не ради се само о томе да се сазна шта се догодило, већ и да се схвати његов пуни обим. Ова сарадња је неопходна како би се осигурало да се сви недостаци затворе и да се може завршити анализа основног узрока.

Да ли су погођени информисани појединачно?

OpenAI је у процесу директног обавештавања свих погођених организација, администратора и корисника. Компанија се не ослања само на опште саопштење, већ се посебно усмерава на оне чији су подаци заправо укључени у извезени скуп података. Ово наглашава њену посвећеност транспарентности.

Која је дугорочна одлука у вези са Mixpanel-ом?

Након истраге инцидента, OpenAI је предузео јасан пословни корак: престао је да користи Mixpanel. Ово је последња мера која показује да је однос поверења непоправљиво нарушен овим безбедносним инцидентом или да безбедносни стандарди Mixpanela више не испуњавају захтеве OpenAI-ја.

Какав утицај ово има на шири екосистем партнера?

Инцидент има последице које превазилазе Mixpanel. OpenAI сада спроводи додатне и проширене безбедносне ревизије у целом свом екосистему добављача. То значи да ће и други добављачи трећих страна са којима OpenAI сарађује бити подвргнути строжој контроли. Штавише, подижу се безбедносни захтеви за све партнере и добављаче. Укратко, постоји опште пооштравање безбедносних смерница за екстерне добављаче услуга како би се спречили слични инциденти у будућности.

Анализа ризика и потенцијалне опасности за кориснике

Којим се специфичним ризицима корисници суочавају због откривених података?

Главни ризик који произилази из овог цурења података лежи у области фишинга и социјалног инжењеринга. Потенцијално угрожене информације су идеалне за припрему и извршење таквих напада.

Зашто су ови специфични подаци опасни за фишинг?

Пошто су укључена имена, имејл адресе и специфични OpenAI метаподаци, као што су кориснички ИД-ови или ИД-ови организација, нападачи могу да саставе веома веродостојне поруке. Нападач би могао да пошаље имејл који садржи тачно име корисника и позива се на његову специфичну употребу OpenAI API-ја. Укључивањем тачних детаља, таква лажна порука делује знатно легитимније од типичне спам имејл поруке. Познавање начина на који се OpenAI API користи омогућава криминалцима да се лажно представљају као OpenAI и злоупотребљавају поверење корисника.

Шта значи социјални инжењеринг у овом контексту?

Социјални инжењеринг значи да нападач покушава да манипулише корисником да открије поверљиве информације или изврши одређене радње путем психолошке манипулације. Знајући локацију корисника, прегледач, оперативни систем и организациону припадност, нападач може да конструише сценарио који жртви звучи сасвим вероватно. На пример, може да прими позив или поруку у којој се тврди да је од техничке подршке, нудећи решавање проблема са одређеним прегледачем или оперативним системом корисника.

Да ли постоје докази о злоупотреби ван Mixpanel-а?

За сада нису пронађени докази да су системи или подаци ван окружења Mixpanel-а погођени. Ипак, OpenAI наставља пажљиво да прати ситуацију како би рано открио све знаке злоупотребе. Ово је мера предострожности, јер одсуство доказа не гарантује апсолутну безбедност, а будност је и даље неопходна.

Препоруке за деловање и мере предострожности

На шта би корисници требало да обрате посебну пажњу у блиској будућности?

Корисницима се препоручује да буду опрезни због наизглед веродостојних покушаја фишинга или спама. Пошто комбинација процурелих података омогућава обману која делује аутентично, здрав скептицизам према долазним порукама је неопходан.

Како треба да се носите са неочекиваним имејловима?

Неочекиване имејлове или поруке треба третирати са опрезом. Ово је посебно тачно ако ове поруке садрже линкове или прилоге. Клик на линкове у непожељним имејловима једна је од најчешћих улазних тачака за злонамерни софтвер или крађу података за пријаву. Садржај треба критички испитати, чак и ако на први поглед делује легитимно.

Како можете проверити аутентичност поруке од OpenAI-а?

Важно је двапут проверити да ли је порука која тврди да је од OpenAI заиста послата са званичног OpenAI домена. Нападачи често користе домене који изгледају веома слично оригиналу, али имају мање грешке у куцању или различите завршетке. Стога је пажљива провера пошиљаоца једноставан, али ефикасан начин да се заштитите.

О чему вас OpenAI никада неће питати путем имејла?

OpenAI има јасна правила за комуникацију. Компанија никада не тражи лозинке, API кључеве или верификационе кодове путем имејла, СМС порука или ћаскања. Ако вас порука замоли да откријете тако осетљиве информације, готово сигурно је у питању покушај фишинга. Познавање овог принципа је кључна заштита од социјалног инжењеринга.

Које техничке мере се препоручују за повећање безбедности?

Да бисте додатно заштитили свој налог, препоручује се да омогућите вишефакторску аутентификацију (MFA). MFA додаје додатни слој безбедности тако што захтева други фактор, као што је код са мобилног уређаја, поред ваше лозинке приликом пријављивања. Чак и ако би нападач добио вашу лозинку путем фишинга, MFA би спречио приступ вашем налогу.

Заштита поверења: Пут OpenAI-а ка максималној безбедности података

Које су вредности кључне за OpenAI?

Поверење, безбедност и приватност описани су као фундаментални за производе, организацију и мисију компаније OpenAI. Ове вредности чине основу њеног односа са корисницима. Решавање овог инцидента има за циљ да покаже да ове вредности остају водећи принципи чак и у кризним ситуацијама.

Како се дефинише одговорност према партнерима?

OpenAI захтева од својих партнера и добављача да испуњавају највише стандарде безбедности и приватности својих услуга. Захтева се одговорност. Ако партнер не испуни ове високе стандарде или ако дође до озбиљних инцидената, уследиће последице, као што је показао прекид партнерства са Mixpanel-ом. Није довољно бити сам безбедан; ланац снабдевања такође мора да испуни ове стандарде.

Како се спроводи обавеза транспарентности?

Посвећеност транспарентности се показује кроз отворену комуникацију о инциденту, чак и ако сопствени системи компаније нису били погођени. Обавештавање свих погођених купаца и корисника осигурава да нико не остане у незнању о потенцијалном ризику. Циљ је одржати или обновити поверење кроз искреност.

Која је коначна порука корисницима?

Безбедност и приватност производа описане су као од највеће важности. Компанија остаје посвећена заштити корисничких података и транспарентној комуникацији уколико се појаве било какви проблеми. Текст се завршава захвалношћу на континуираном поверењу корисника, наглашавајући да се однос са купцима посматра као партнерство засновано на међусобном поверењу.

☑️ Наш пословни језик је енглески или немачки

☑️ НОВО: Преписка на вашем матерњем језику!

Konrad Wolfenstein

Ја и мој тим смо срећни што вам можемо бити на располагању као ваш лични саветник.

Можете ме контактирати попуњавањем контакт форме овде или једноставно позовите на +49 89 89 674 804 ( Минхен) . Моја имејл адреса је: [email protected]

Радујем се нашем заједничком пројекту.

☑️ Подршка малим и средњим предузећима у стратегији, консултацијама, планирању и имплементацији

☑️ Креирање или реорганизација дигиталне стратегије и дигитализације

☑️ Проширење и оптимизација међународних продајних процеса

☑️ Глобалне и дигиталне B2B платформе за трговање

☑️ Пионирски развој пословања / Маркетинг / Односи с јавношћу / Сајмови

Искористите предности Xpert.Digital-овог опсежног, петоструког стручног знања у свеобухватном пакету услуга | Истраживање и развој, XR, односи с јавношћу и оптимизација дигиталне видљивости - Слика: Xpert.Digital

Xpert.Digital поседује дубинско знање у различитим индустријама. То нам омогућава да развијемо прилагођене стратегије прецизно усклађене са захтевима и изазовима вашег специфичног тржишног сегмента. Континуираном анализом тржишних трендова и праћењем развоја у индустрији, можемо деловати проактивно и понудити иновативна решења. Комбинација искуства и стручности ствара додатну вредност и пружа нашим клијентима одлучујућу конкурентску предност.

Више информација овде:

• Искористите предности 5 области стручности компаније Xpert.Digital у једном пакету – већ од 500 евра месечно