OpenAI encerrou sua parceria com a empresa de análise Mixpanel após um violação de dados que expôs as informações pessoais dos desenvolvedores que usam sua plataforma API. O incidente, que a OpenAI divulgou publicamente em 27 de novembro de 2025, decorre de uma intrusão não autorizada nos sistemas da Mixpanel em 9 de novembro de 2025. Embora a Mixpanel tenha alertado a OpenAI sobre a investigação logo após a violação, o conjunto de dados específico que confirma a exposição dos perfis de desenvolvedores da OpenAI não foi compartilhado até 25 de novembro de 2025.
A violação é estritamente limitada aos usuários de platform.openai.como ambiente onde os desenvolvedores criam e gerenciam aplicativos usando os modelos da OpenAI. OpenAI explicitamente confirmado que o incidente não afetou sua própria infraestrutura ou o serviço ChatGPT voltado ao consumidor.
Credenciais críticas de segurança – incluindo senhas, chaves de API, informações de pagamento e identificações governamentais – permanecem seguras. No entanto, o conjunto de dados vazado contém metadados que poderiam ser usados como arma para ataques direcionados de engenharia social. Os campos expostos incluem os nomes e endereços de e-mail associados a contas de API, IDs de organização, IDs de usuário, detalhes do navegador e do sistema operacional, sites de referência e dados aproximados de localização derivados de sessões do navegador.
Em resposta à falha do fornecedor, a OpenAI removeu o Mixpanel de seus serviços de produção e está conduzindo uma revisão de segurança ampliada de todo o seu ecossistema de terceiros. Embora a violação não tenha comprometido os tokens de autenticação, a OpenAI está aconselhando todos os usuários a habilitar a autenticação multifator (MFA) como uma defesa preventiva contra futuras tentativas de preenchimento de credenciais ou phishing que possam aproveitar os dados de perfil vazados. Este evento destaca as vulnerabilidades da cadeia de abastecimento inerentes ao dimensionamento de plataformas de software; mesmo quando a fortaleza de uma empresa primária é segura, os provedores terceirizados de análise e serviços públicos integrados à sua pilha podem servir como backdoors abertos para a exfiltração de dados.
