Dopo aver annunciato l’aggiornamento di GPT-5.1, poi la funzionalità di gruppo, OpenAI, editore di ChatGPT, ha appena fatto un altro annuncio: ha infatti informato i suoi clienti via e-mail di un incidente di sicurezza avvenuto presso il suo fornitore analitico Mixpanel. Sebbene gli impatti sembrino limitati secondo la comunicazione di OpenAI, questa situazione solleva nuovamente la questione della protezione dei dati nell’ambito degli strumenti IA. Ecco gli elementi essenziali da conoscere per comprendere la portata dell’evento e le misure adottate.
A proposito dell’incidente Mixpanel e dei dati interessati
OpenAI ha indicato che un attore malevolo ha ottenuto un accesso non autorizzato a una parte dei sistemi di Mixpanel il 9 novembre 2025. Questo accesso ha permesso l’esportazione di un insieme limitato di informazioni legate agli account API che utilizzano l’interfaccia web platform.openai.com. Secondo le informazioni trasmesse, nessun dato sensibile legato agli scambi, alle richieste API, alle password, agli identificativi governativi o ai mezzi di pagamento è stato esposto.
Gli elementi potenzialmente interessati si limitano a dati di profilo e informazioni legate all’ambiente tecnico di navigazione: nome dichiarato sull’account API, indirizzo e-mail, localizzazione approssimativa basata sul browser (città, stato, paese), sistema operativo, browser, siti referenti e identificativi di organizzazione o utente associati all’account.
Risposta di OpenAI e misure adottate in materia di sicurezza
Alla ricezione dell’allerta di Mixpanel, OpenAI ha immediatamente rimosso questo fornitore dai suoi servizi in produzione. L’azienda ha poi condotto una revisione dettagliata dei set di dati interessati e ha avviato una stretta collaborazione con Mixpanel e con altri partner per comprendere l’entità dell’incidente. Le organizzazioni, gli amministratori e gli utenti colpiti sono in corso di notifica individuale.
OpenAI afferma di non disporre di alcuna indicazione che faccia pensare che l’incidente abbia colpito i propri sistemi. L’azienda rafforza tuttavia i suoi controlli all’interno di tutto il suo ecosistema di fornitori e applica requisiti di sicurezza elevati. Ha inoltre posto fine definitivamente all’utilizzo di Mixpanel.
Rischi di phishing e precauzioni da adottare
Le informazioni esposte, come il nome, l’indirizzo e-mail o i metadati utente, possono essere sfruttate nell’ambito di tentativi di phishing o manipolazione sociale. OpenAI incoraggia tutti gli utenti interessati a essere vigili di fronte a messaggi che potrebbero imitare comunicazioni ufficiali.
Le raccomandazioni includono l’esame attento dei messaggi inattesi, la verifica dell’origine esatta delle e-mail ricevute, l’assenza di trasmissione di password, chiavi API o codici di verifica, nonché l’attivazione dell’autenticazione a più fattori per rafforzare la protezione dell’account.
Trasparenza e impegno di OpenAI
OpenAI ricorda che la sicurezza, la riservatezza e la fiducia restano al centro della sua missione. L’azienda si impegna a informare chiaramente i suoi utenti quando si verifica un incidente e a mantenere standard elevati presso tutti i suoi fornitori tecnologici.
Per qualsiasi domanda aggiuntiva o richiesta di assistenza, gli utenti possono contattare il loro team dedicato o l’indirizzo indicato da OpenAI (mixpanelincident [AT] openai.com). Un articolo di blog dettagliato è anche messo a disposizione per approfondire l’argomento.
Fonte: https://openai.com/index/mixpanel-incident/