A OpenAI publicou nessa semana uma nota em seu portal oficial, informando que dados pessoais de usuários da API da empresa foram vazados em um incidente cibernético contra uma de suas fornecedoras. A ocorrência se deu no início de novembro, na provedora de análise de dados Mixpanel, e expôs nomes, e-mails, localização, sistema operacional, IDs, navegadores e sites de referência fornecidos nessas contas da API.
No comunicado, a OpenAI não diz quantos clientes foram impactados por esse vazamento, mas reforça que usuários do ChatGPT e de outros produtos da marca não foram impactados. A empresa reforça também que o vazamento não partiu de seus sistemas internos, portanto nenhum chat, solicitação de API, dados de uso das APIs, chaves de APIs, senhas, credenciais, detalhes de pagamento ou identidades governamentais foram comprometidas nesse incidente.
O incidente atingiu a companhia Mixpanel, usada pela OpenAI para analisar a interface front-end do produto API. A provedora havia tomado conhecimento de um acesso não autorizado a parte dos seus sistemas por um invasor não identificado. Esse agente hostil exportou parte desse conjunto de dados acessados, incluindo as informações mencionadas. Nesta semana, a terceirizada deu mais detalhes à OpenAI do que pode ter vazado.
“Como parte de nossa investigação de Segurança, removemos o Mixpanel de nossos serviços de produção, revisamos os conjuntos de dados afetados e estamos trabalhando em estreita colaboração com o Mixpanel e outros parceiros para entender completamente o incidente e seu escopo. Estamos notificando diretamente as organizações, administradores e usuários afetados”, acrescenta a nota.
Além do Mixpanel, a Open AI está realizando análises de Segurança adicionais em todo o ecossistema de fornecedores e elevando os requisitos de Segurança para todos os parceiros e fornecedores. A organização também reforçou alertas para possíveis campanhas de phishing movidas por cibercriminosos que tenham acessos a esses registros e que utilizem a imagem da OpenAI para passar credibilidade aos ataques.
Nesse sentido, as empresas e usuários impactados deve manter atenção a e-mails inesperados que incluam links ou anexos desconhecidos. Além disso, eles devem verificar se as mensagens foram enviadas de domínios oficiais da OpenAI e ativar controles multifatoriais de autenticação para manter as contas protegidas.
“A OpenAI não solicita senhas, chaves de API ou códigos de verificação por e-mail, mensagem de texto ou chat. A Segurança e a privacidade de nossos produtos são fundamentais, e continuamos determinados a proteger suas informações e a nos comunicar de forma transparente quando surgem problemas”, conclui a mensagem.
Vazamento por meio de terreiros é uma dinâmica que pode gerar altos impactos às estruturas de negócios das empresas de tecnologia. Um caso similar recente se deu na Salesforce, em que um incidente cibernético contra uma parceira de serviços de chatbot expôs diversos clientes da organização de CRM, incluindo algumas companhias importantes da indústria de Cyber Security, como Cloudflare, Zscaler e Palo Alto Networks.
A Security Report publica, na íntegra, nota disponibilizada pela OpenAI:
“A transparência é importante para nós, por isso queremos informá-lo sobre um incidente de Segurança recente na Mixpanel, um provedor de análise de dados que a OpenAI utilizou para análise da web na interface front-end do nosso produto API (platform.openai.com).
O incidente ocorreu nos sistemas da Mixpanel e envolveu dados analíticos limitados relacionados a alguns usuários da API. Os usuários do ChatGPT e de outros produtos não foram afetados.
Não se tratou de uma violação dos sistemas da OpenAI. Nenhum chat, solicitação de API, dados de uso de API, senhas, credenciais, chaves de API, detalhes de pagamento ou identidades governamentais foram comprometidos ou expostos.
O que aconteceu
Em 9 de novembro de 2025, a Mixpanel tomou conhecimento de um invasor que obteve acesso não autorizado a parte de seus sistemas e exportou um conjunto de dados contendo informações limitadas de identificação de clientes e informações analíticas. A Mixpanel notificou a OpenAI que estava investigando e, em 25 de novembro de 2025, compartilhou o conjunto de dados afetado conosco.
O que isso significa para os usuários afetados
As informações do perfil do usuário associadas ao uso da plataforma platform.openai.com podem ter sido incluídas nos dados exportados da Mixpanel. As informações que podem ter sido afetadas se limitaram a:
– Nome que nos foi fornecido na conta da API
– Endereço de e-mail associado à conta da API
– Localização aproximada com base no navegador do usuário da API (cidade, estado, país)
– Sistema operacional e navegador usados para acessar a conta da API
– Sites de referência
– IDs de organização ou usuário associados à conta da API
Nossa resposta
Como parte de nossa investigação de segurança, removemos o Mixpanel de nossos serviços de produção, revisamos os conjuntos de dados afetados e estamos trabalhando em estreita colaboração com o Mixpanel e outros parceiros para entender completamente o incidente e seu escopo. Estamos notificando diretamente as organizações, administradores e usuários afetados. Embora não tenhamos encontrado evidências de qualquer efeito em sistemas ou dados fora do ambiente do Mixpanel, continuamos monitorando de perto qualquer sinal de uso indevido.
Confiança, segurança e privacidade são fundamentais para nossos produtos, nossa organização e nossa missão. Estamos comprometidos com a transparência e estamos notificando todos os clientes e usuários afetados. Também responsabilizamos nossos parceiros e fornecedores pelo mais alto padrão de segurança e privacidade de seus serviços. Após analisar este incidente, a OpenAI encerrou o uso do Mixpanel.
Além do Mixpanel, estamos realizando análises de segurança adicionais e ampliadas em todo o nosso ecossistema de fornecedores e elevando os requisitos de segurança para todos os parceiros e fornecedores.
O que você deve ter em mente
As informações que podem ter sido afetadas aqui podem ser usadas como parte de ataques de phishing ou engenharia social contra você ou sua organização. Como nomes, endereços de e-mail e metadados da API da OpenAI (por exemplo, IDs de usuário) foram incluídos, recomendamos que você permaneça atento a tentativas de phishing ou spam que pareçam confiáveis. Lembre-se:
Trate e-mails ou mensagens inesperadas com cautela, especialmente se incluírem links ou anexos.
Verifique se qualquer mensagem que alegue ser da OpenAI foi enviada de um domínio oficial da OpenAI.
A OpenAI não solicita senhas, chaves de API ou códigos de verificação por e-mail, mensagem de texto ou chat.
Proteja ainda mais sua conta ativando a autenticação multifatorial.
A segurança e a privacidade de nossos produtos são fundamentais, e continuamos determinados a proteger suas informações e a nos comunicar de forma transparente quando surgem problemas.
Agradecemos sua confiança contínua em nós.
OpenAI”
