Breșă de securitate în lumea AI. Ce informații s-au scurs de la OpenAI

Un incident de securitate major a zdruncinat recent comunitatea de dezvoltatori care se bazează pe infrastructura OpenAI. Compania a confirmat expunerea unor date ale utilizatorilor de produse API ale OpenAI au fost expuse în urma unei breșe la nivelul unui furnizor de servicii de analiză terț, Mixpanel. Deși sistemele interne ale OpenAI și utilizatorii populari de ChatGPT nu au fost afectați, incidentul readuce în discuție riscurile asociate dependenței de ecosistemul vast al partenerilor de servicii digitale.

Ce s-a întâmplat, de fapt, în ecosistemul OpenAI

Breșa de securitate nu a vizat direct infrastructura OpenAI, ci a avut loc în mediul intern al companiei Mixpanel, un furnizor utilizat de OpenAI pentru analiza web pe interfața frontend a produsului său API (platform.openai.com). Incidentul a fost detectat pe 9 noiembrie 2025, când un atacator a obținut acces neautorizat la o parte din sistemele Mixpanel și a exportat un set de date. OpenAI a fost informată despre investigație și, pe 25 noiembrie, a primit setul de date afectat pentru evaluare. Compania a subliniat rapid că niciunul dintre utilizatorii de rând ai chatbot-ului ChatGPT nu a fost afectat. În schimb, incidentul a afectat doar utilizatorii platformei de dezvoltatori, punând presiune pe aceștia să își revizuiască măsurile de protecție. Expunerea acestor date utilizatori OpenAI API expuse creează un precedent serios în piața de outsourcing IT.

Ce tip de date au fost vizate de atac

Informațiile compromise au fost limitate la datele de analiză, dar ele rămân esențiale pentru potențialele atacuri de tip phishing și inginerie socială. Setul de date exportat a inclus informații de profil asociate utilizării platformei API, cum ar fi: numele furnizat în contul API, adresa de email asociată, locația aproximativă bazată pe browser (oraș, stat, țară), detaliile despre sistemul de operare și browserul utilizat, site-urile web de referință, precum și ID-urile de organizație sau de utilizator. Este crucial de menționat, conform comunicatului OpenAI, că datele extrem de sensibile – cum ar fi jurnalele de chat, solicitările API, parolele, credențialele, cheile API, detaliile de plată sau actele de identitate – nu au fost compromise sau expuse. Compania a insistat că, deși sunt date utilizatori OpenAI API expuse, datele critice de securitate sunt în siguranță, relatează stiripesurse.ro.

Cum răspunde OpenAI și ce măsuri pot lua utilizatorii

Ca răspuns direct la breșă, OpenAI a luat măsuri decisive, inclusiv încetarea imediată a utilizării serviciilor Mixpanel în cadrul său de producție. Gigantul AI a început procesul de notificare directă a organizațiilor, administratorilor și utilizatorilor impactați. Pe termen lung, OpenAI a anunțat că va efectua revizuiri de securitate suplimentare și extinse la nivelul întregului său ecosistem de furnizori, ridicând cerințele de securitate pentru toți partenerii. Utilizatorii API vizați sunt sfătuiți să trateze cu precauție maximă emailurile sau mesajele neașteptate care conțin link-uri sau atașamente. Verificarea domeniului oficial OpenAI pentru orice comunicare, dar mai ales activarea imediată a autentificării multi-factor (MFA), reprezintă cele mai bune linii de apărare împotriva oricăror tentative de exploatare a informațiilor scurse.