OpenAI hat seine Partnerschaft mit dem Analyseunternehmen Mixpanel nach einem beendet Datenschutzverletzung das die persönlichen Daten von Entwicklern offengelegt hat, die seine API-Plattform nutzen. Der Vorfall, den OpenAI am 27. November 2025 öffentlich bekannt gab, ist auf einen unbefugten Eingriff in die Systeme von Mixpanel am 9. November 2025 zurückzuführen. Während Mixpanel OpenAI kurz nach dem Verstoß auf die Untersuchung aufmerksam machte, wurde der spezifische Datensatz, der die Offenlegung von OpenAI-Entwicklerprofilen bestätigt, erst am 25. November 2025 weitergegeben.
Der Verstoß ist strikt auf Benutzer von beschränkt platform.openai.comdie Umgebung, in der Entwickler Anwendungen mithilfe der Modelle von OpenAI erstellen und verwalten. OpenAI hat explizit bestätigt dass der Vorfall weder die eigene Infrastruktur noch den verbraucherorientierten ChatGPT-Dienst berührte.
Wichtige Sicherheitsdaten – einschließlich Passwörter, API-Schlüssel, Zahlungsinformationen und Regierungsausweise – bleiben sicher. Der durchgesickerte Datensatz enthält jedoch Metadaten, die für gezielte Social-Engineering-Angriffe genutzt werden könnten. Zu den offengelegten Feldern gehören die Namen und E-Mail-Adressen, die mit API-Konten, Organisations-IDs, Benutzer-IDs, Browser- und Betriebssystemdetails, verweisenden Websites und groben Standortdaten aus Browsersitzungen verknüpft sind.
Als Reaktion auf das Versagen des Anbieters hat OpenAI Mixpanel aus seinen Produktionsdiensten entfernt und führt eine erweiterte Sicherheitsüberprüfung seines gesamten Drittanbieter-Ökosystems durch. Obwohl die Authentifizierungstoken durch den Verstoß nicht beeinträchtigt wurden, empfiehlt OpenAI allen Benutzern, die Multi-Faktor-Authentifizierung (MFA) zu aktivieren, um sich vor künftigen Credential-Stuffing- oder Phishing-Versuchen zu schützen, die die durchgesickerten Profildaten ausnutzen könnten. Dieses Ereignis unterstreicht die Schwachstellen in der Lieferkette, die mit der Skalierung von Softwareplattformen einhergehen. Selbst wenn die Festung eines Hauptunternehmens sicher ist, können die in seinen Stack integrierten Drittanbieter-Analyse- und Versorgungsanbieter als offene Hintertüren für die Datenexfiltration dienen.
