Компания OpenAI уведомила часть клиентов, использующих API ChatGPT, о том, что в результате компрометации стороннего аналитического сервиса Mixpanel были раскрыты ограниченные идентифицирующие сведения. Киберинцидент затронул только клиентов API и не коснулся пользователей ChatGPT и других продуктов.
Mixpanel предоставляет инструменты для сбора аналитики, которые OpenAI применяет для оценки взаимодействия с внешним интерфейсом своих API‑сервисов. Как следует из пресс-релиза, опубликованного OpenAI, киберинцидент не был напрямую связан с инфраструктурой самой компании. В частности, не были скомпрометированы пароли, токены, ключи API, данные чатов, платёжные реквизиты или номера удостоверений личности.
В Mixpanel сообщили, что компрометация стала следствием смишинговой атаки — разновидности фишинга через текстовые сообщения. Инцидент был обнаружен 8 ноября, а OpenAI получила уточнённую информацию о затронутых данных 25 ноября, после того как Mixpanel завершила часть внутреннего расследования.
Среди раскрытых данных оказались:

имя, указанное в аккаунте API;
адрес электронной почты, связанный с этой учётной записью;
примерное географическое положение пользователя (город, регион, страна);
тип операционной системы и браузера;
ссылающиеся ресурсы;
идентификаторы пользователей или организаций, связанных с аккаунтом.

В OpenAI уточнили, что сброс паролей или обновление ключей API не требуется, так как конфиденциальные данные не утекли. При этом пользователям рекомендуется быть особенно осторожными: полученные сведения теоретически могут использоваться для фишинга или атак социальной инженерии.
Компания просит проявлять повышенное внимание к подозрительным письмам или сообщениям, особенно если они содержат ссылки или вложения. Все обращения должны исходить только из доменов OpenAI, а для дополнительной защиты следует активировать двухфакторную аутентификацию и никогда не передавать чувствительную информацию в текстовой форме, по почте или через мессенджеры.