OpenAI сообщила, что у подрядчика Mixpanel произошёл инцидент безопасности, в результате которого могли быть раскрыты аналитические данные API-пользователей — e-mail, техническая информация о браузере и устройстве, а также ID аккаунтов.

Системы OpenAI, включая чаты, пароли, платежные данные и ключи API, не пострадали, однако компания предупредила о рисках фишинга и призвала к осторожности.

OpenAI заявила об инциденте безопасности в системах Mixpanel — поставщика аналитики, который компания использовала для веб-аналитики интерфейса своих API-продуктов. Утечка не затронула пользователей ChatGPT и других сервисов OpenAI, подчеркнули в компании.

Согласно заявлению, потенциально могли быть раскрыты адреса электронной почты, связанные с API-аккаунтами, приблизительное местоположение на основе браузера, данные об операционной системе и используемом браузере, список посещённых страниц, а также user ID или ID организаций, связанных с аккаунтом API.

При этом OpenAI подчеркнула, что её собственные системы не пострадали. Чаты, пароли, платежные данные, ключи API, запросы, государственные документы и прочая чувствительная информация не были скомпрометированы.

Компания предупредила, что данные, оказавшиеся в распоряжении злоумышленника, могут быть использованы в фишинговых атаках и схемах социальной инженерии. OpenAI рекомендовала с осторожностью относиться к неожиданным письмам и проверять домены отправителей. При этом смена паролей или ключей не требуется — такая информация в утечку не попала.

Mixpanel сообщила OpenAI, что 9 ноября злоумышленник получил несанкционированный доступ к части её инфраструктуры и экспортировал ограниченный набор пользовательских данных. 25 ноября подрядчик передал OpenAI затронутый массив для анализа. После инцидента OpenAI приняла решение прекратить использование Mixpanel.