OpenAI is begonnen met het informeren van een aantal gebruikers van de ChatGPT API over een datalek dat is ontstaan door een beveiligingsincident bij Mixpanel, een externe analytics-provider die het bedrijf gebruikt. Het incident werd eerst gemeld in een publieke update van OpenAI en vervolgens opgepikt door onder meer BleepingComputer en Cybernews.
Volgens OpenAI zijn er bij het lek een beperkte hoeveelheid identificerende gegevens van sommige API-gebruikers blootgesteld. Gewone ChatGPT-gebruikers en klanten van andere OpenAI-producten zijn niet getroffen.
OpenAI benadrukt dat de eigen systemen niet zijn gehackt en dat er geen gevoelige gegevens – zoals chatgeschiedenis, API-sleutels, wachtwoorden, betaalgegevens of identiteitsdocumenten – zijn ingezien.
Mixpanel verklaarde dat het lek het gevolg was van een smishingaanval die op 8 november werd ontdekt. OpenAI werd op 25 november geïnformeerd toen Mixpanel de details van de getroffen dataset deelde.
De blootgestelde gegevens kunnen het volgende omvatten:
- De naam gekoppeld aan een API-account
- E-mailadres
- Globale locatie op basis van browserdata (stad, staat, land)
- Gebruikte browser en besturingssysteem
- Verwijzende websites
- Organisatie- of gebruikers-ID’s gelinkt aan het account
OpenAI geeft aan dat gebruikers geen wachtwoorden hoeven te resetten of API-sleutels hoeven te vernieuwen, omdat er geen gevoelige inloggegevens zijn gelekt.
Enkele API-gebruikers meldden dat ook CoinTracker, een dienst voor crypto-belasting en portfoliobeheer, indirect is getroffen – met beperkte apparaatgegevens in het lek.
Uit voorzorg heeft OpenAI Mixpanel verwijderd uit zijn productieomgeving en worden zowel organisaties als individuele gebruikers op de hoogte gesteld. Hoewel alleen API-gebruikers direct zijn geraakt, heeft OpenAI alle abonnees gewaarschuwd vanwege het risico op phishingpogingen met behulp van de gelekte informatie.
Mixpanel-CEO Jen Taylor verklaarde dat alle getroffen klanten inmiddels rechtstreeks zijn geïnformeerd. Wie niets heeft gehoord van Mixpanel, “is niet getroffen,” aldus Taylor. Mixpanel heeft inmiddels getroffen accounts beveiligd, sessies ingetrokken, inloggegevens vernieuwd, IP-adressen van aanvallers geblokkeerd en strengere beveiligingsmaatregelen ingevoerd.
