Prima di procedere
OpenAI ha comunicato via email ai suoi utenti API, ovvero sviluppatori e organizzazioni che utilizzano la piattaforma platform.openai.com per integrare i modelli nei propri servizi, di un incidente di sicurezza avvenuto nei giorni scorsi e legato a Mixpanel, il provider di web analytics impiegato fino a poco tempo fa sull'interfaccia web dedicata. L'azienda precisa che l'incidente non ha coinvolto direttamente i propri sistemi, ma è avvenuto all'interno dell'infrastruttura di Mixpanel ed è limitato a un set di dati di profilo degli account API. Nessun contenuto di chat, prompt, risposte, chiavi API, password, informazioni di pagamento o documenti d'identità è stato compromesso.
Secondo quanto comunicato da OpenAI, il 9 novembre 2025, Mixpanel ha rilevato un accesso non autorizzato a una porzione dei propri sistemi. L'autore dell'attacco è riuscito a esportare un dataset contenente informazioni identificative e dati di analytics relativi agli account API che utilizzano l'interfaccia web platform.openai.com. Il 25 novembre, Mixpanel ha condiviso con OpenAI il dataset compromesso, consentendo una verifica puntuale delle informazioni esposte.
Il perimetro dei dati potenzialmente interessati include:
- Nome associato all'account API
- Indirizzo email
- Localizzazione approssimativa (città, stato, Paese) dedotta dal browser
- Sistema operativo e browser utilizzati
- Siti web di provenienza
- Organization ID e user ID collegati all'account API
OpenAI sottolinea che non sono stati esposti contenuti delle chat o delle richieste API, dati relativi all'uso del modello, né informazioni sensibili come password, chiavi API, credenziali d'accesso, session token, dati di pagamento o documenti governativi. L'incidente non riguarda gli utenti di ChatGPT o di altri prodotti consumer.
In seguito alla notifica di Mixpanel, OpenAI ha immediatamente rimosso il provider dai propri sistemi di produzione e ha avviato un'indagine tecnica interna. L'azienda ha analizzato i dataset compromessi, è in contatto con Mixpanel e ha avviato la procedura di notifica a tutte le organizzazioni, agli amministratori e agli utenti API coinvolti. OpenAI afferma di non aver riscontrato alcun effetto sui propri sistemi e su dati esterni all'ambiente Mixpanel, ma continua a monitorare eventuali anomalie o tentativi di abuso. A seguito dell'incidente, l'azienda ha chiuso definitivamente il rapporto con Mixpanel ed è ora impegnata in un ampliamento delle verifiche di sicurezza sull'intero ecosistema di vendor e partner, con l'obiettivo di innalzare ulteriormente i requisiti richiesti.
OpenAI invita a trattare con prudenza qualsiasi comunicazione inattesa, soprattutto se contiene link o allegati, e di verificare sempre che eventuali messaggi che sembrano provenire da OpenAI arrivino davvero da un dominio ufficiale. Viene ribadito che OpenAI non chiede mai password, chiavi API o codici di verifica tramite email, SMS o chat. Per una maggiore protezione, è consigliabile attivare l’autenticazione a più fattori, mentre non è necessario modificare le password, dato che non sono state esposte. Questo incidente solleva nuovamente interrogativi sulla sicurezza dei dati degli utenti e sulla responsabilità dei fornitori terzi, in un contesto in cui l'integrazione di servizi esterni è sempre più diffusa. La risposta pronta e trasparente di OpenAI è un segnale positivo, ma la vicenda evidenzia la necessità di controlli più rigorosi e di una maggiore attenzione alla protezione dei dati in tutta la filiera tecnologica.
