Source: OpenAI — OpenAI détaille un incident de sécurité survenu chez son fournisseur d’analytique web Mixpanel, utilisé sur l’interface frontend de sa plateforme API (platform.openai.com). L’incident, daté du 9 novembre 2025 chez Mixpanel, a conduit à l’export d’un jeu de données contenant des informations identifiables limitées et des données d’analytique. OpenAI précise qu’il ne s’agit pas d’une compromission de ses propres systèmes et que les utilisateurs de ChatGPT et autres produits ne sont pas affectés. Aucune donnée de chat, requête API, métrique d’usage API, mot de passe, identifiant, clé API, information de paiement ou pièce d’identité n’a été exposée; les jetons de session/authentification et paramètres sensibles n’ont pas été impactés.

⚠️ Données potentiellement concernées pour certains utilisateurs de l’API (via platform.openai.com):

  • Nom fourni sur le compte API
  • Adresse e-mail associée au compte API
  • Localisation approximative (ville, État, pays) basée sur le navigateur
  • Système d’exploitation et navigateur utilisés
  • Sites référents
  • IDs d’organisation ou d’utilisateur liés au compte API

Chronologie et réponse d’OpenAI: Mixpanel a détecté le 9 novembre 2025 un accès non autorisé à une partie de ses systèmes et l’export d’un dataset. Mixpanel a partagé le dataset affecté avec OpenAI le 25 novembre 2025. OpenAI a retiré Mixpanel de ses services de production, examiné les jeux de données concernés, collabore avec Mixpanel et ses partenaires, et notifie directement les organisations, administrateurs et utilisateurs impactés. Par ailleurs, OpenAI met fin à l’usage de Mixpanel et renforce les exigences de sécurité à l’échelle de son écosystème de fournisseurs.

Risques et vigilance: OpenAI avertit que les informations exposées pourraient être utilisées pour du phishing ou de la fraude sociale. Recommandations rappelées par OpenAI:

  • Se méfier des messages inattendus (liens/pièces jointes)
  • Vérifier que les messages d’OpenAI proviennent d’un domaine officiel
  • OpenAI ne demande jamais mots de passe, clés API, ni codes de vérification par e-mail/SMS/chat
  • Activer la MFA (et au niveau SSO pour les entreprises) 🔐

IOCs et TTPs:

  • TTPs: accès non autorisé aux systèmes de Mixpanel; exfiltration d’un jeu de données d’analytique.
  • IOCs: aucun indicateur (IP, hash, domaine) partagé dans cette communication.

Cet article est une annonce d’incident visant à informer avec transparence sur l’impact, les mesures prises et les précautions à retenir, ainsi qu’à préciser la fin de l’usage de Mixpanel et le relèvement des exigences de sécurité chez les fournisseurs.

🔗 Source originale : https://openai.com/index/mixpanel-incident/