OpenAI підтверджує витік даних з платформи API

Команда OpenAI в електронній розсилці заявила, що підтверджує наявність проблем безпеки користувацьких даних. У публічному доступі з’явились електронні адреси, імена та приблизне місцезнаходження нерозкритої кількості користувачів, повідомляє Windows Central.

За інформацією OpenAI, власники акаунтів ChatGPT, історія їхніх чатів, паролі, платіжні дані не постраждали. Проблема стосується розробників, які використовують інтерфейси API OpenAI на platform.openai.com. За твердженням компанії, булі викрито такі дані:

Імена, надані обліковим записам на platform.openai.com.

Адреси електронної пошти, пов’язані з обліковими записами API через platform.openai.com.

«Приблизне місцезнаходження», визначене за IP-адресою та браузером.

Операційна система, тип браузера, а також посилання на веб-сайти.

Організації та ідентифікатори користувачів, збережені в облікових записах API.

Електронний лист до постраждалих користувачів виглядає наступним чином:

«Прозорість важлива для нас, тому ми хочемо повідомити вас про нещодавній інцидент безпеки в Mixpanel, постачальнику аналітики даних, якого OpenAl використовує для веб-аналітики на фронтенд-інтерфейсі нашого API-продукту (platform.openai.com). Інцидент стався в системах Mixpanel і стосувався обмежених аналітичних даних, пов’язаних з вашим обліковим записом API. Це не було порушенням систем OpenAl. Жоден чати, запити API, дані про використання API, паролі, облікові дані, ключі API, платіжні дані чи урядові ідентифікатори не були скомпрометовані чи розкриті».

9 листопада 2025 року компанія Mixpanel дізналась про зловмисника, який отримав несанкціонований доступ до частини їхніх систем та експортував набір даних, що містив обмежену інформацію про ідентифікацію клієнтів та аналітичну інформацію. Mixpanel повідомила OpenAl про проведення розслідування, і 25 листопада 2025 року вони поділилися з нами ураженим набором даних.

OpenAI заявляє, що припинила взаємодію з Mixpanel на час розслідування проблеми і закликає користувачів бути пильними щодо фішингових атак та шахрайства із застосуванням соціальної інженерії, оскільки зловмисники можуть спробувати використати викрадені дані.