Prima di procedere
OpenAI ha recentemente informato i propri utenti di una significativa fuga di dati, causata da una vulnerabilità in Mixpanel, uno strumento di analisi web di terze parti. In una comunicazione ufficiale, il team di sicurezza di OpenAI ha tenuto a precisare che l'incidente non ha intaccato gli utenti di ChatGPT, salvaguardando così la sicurezza dei contenuti delle chat, dei dati relativi all'utilizzo delle API, delle password, delle informazioni di pagamento e dei documenti di identità.
L'incidente, stando alle informazioni disponibili, risale al 9 novembre 2025. In tale data, un soggetto non autorizzato è riuscito ad accedere a una porzione dell'infrastruttura di Mixpanel, esportando un insieme di dati contenente informazioni di identificazione e analisi dei clienti di OpenAI. Secondo quanto riportato da Windows Central, Mixpanel ha comunicato a OpenAI la lista degli utenti coinvolti solo il 25 novembre, a seguito della quale OpenAI ha prontamente provveduto ad avvisare tutti gli interessati della violazione.
OpenAI ha specificato che la falla non ha interessato il sistema di ChatGPT. Nello specifico, sono rimasti al sicuro i contenuti delle conversazioni, le richieste alle API, i dati relativi all'utilizzo delle API, le password, le credenziali di accesso, le chiavi API, le informazioni di pagamento e i documenti di identificazione, inclusi i documenti di identità rilasciati da enti governativi. La compromissione ha riguardato esclusivamente i dati associati agli account presenti sulla piattaforma platform.openai.com. Tra questi, i nomi forniti durante la registrazione, gli indirizzi email collegati agli account API, la posizione geografica approssimativa desunta dall'indirizzo IP e dai dati del browser web, il tipo di sistema operativo e di browser utilizzato, nonché informazioni sui siti di riferimento, sulle organizzazioni e sugli identificatori interni degli utenti memorizzati nei profili API.
La società ha tenuto a sottolineare che non si è trattato di un attacco diretto ai propri sistemi, bensì di un incidente verificatosi nell'infrastruttura di un fornitore terzo. In risposta a tale evento, OpenAI ha interrotto l'integrazione con Mixpanel e ha invitato gli utenti a prestare maggiore attenzione a possibili attacchi di phishing e tentativi di ingegneria sociale. Questo tipo di attacchi mirano a manipolare le persone per ottenere informazioni sensibili o indurle a compiere azioni dannose, sfruttando la fiducia e l'inganno. È quindi fondamentale verificare sempre l'autenticità delle comunicazioni ricevute e non fornire mai dati personali o finanziari a fonti non verificate.
Episodi come questo evidenziano l'importanza della sicurezza dei dati nel mondo digitale e la necessità di una costante vigilanza da parte sia delle aziende che degli utenti. OpenAI, pur non essendo direttamente responsabile della violazione, ha dimostrato di prendere seriamente la questione, agendo tempestivamente per informare i propri utenti e adottando misure per prevenire futuri incidenti. La collaborazione tra aziende e fornitori di servizi è fondamentale per garantire la protezione dei dati e la sicurezza degli utenti online.
