OpenAI informiert über einen Datendiebstahl beim Webanalyse-Dienstleister Mixpanel. Der hat beim KI-Unternehmen die Nutzung der Dienste und API untersucht. Einige der dabei erhobenen Daten können nun in falsche Hände geraten sein.
Eine Mitteilung auf der OpenAI-Webseite erörtert den IT-Vorfall. Demnach gab es einen Einbruch in den Mixpanel-Systemen, bei dem „begrenzte Analysedaten für Web-Analysen einiger Nutzer der OpenAI-API (platform.openai.com)“ abhanden gekommen sind. „Nutzer von ChatGPT und anderen Produkten sind nicht betroffen“, erklärt OpenAI. Was das Unternehmen jedoch nicht erwähnt: Um die OpenAI-KI in anderer Software zu nutzen, wie dem „Erweiterten Einfügen“ in den Windows-Powertoys, ist ein API-Key nötig. Die betroffene Nutzergruppe ist daher vergleichsweise (und möglicherweise unerwartet) groß; API-Keys haben sich sehr viele Nutzer erzeugt.
Das KI-Unternehmen betont, dass in keine OpenAI-Systeme eingebrochen wurde. „Keine Chats, API-Anfragen, API-Nutzungsdaten, Passwörter, Zugangsdaten, API-Keys, Zahlungsdetails oder behördliche IDs wurden kompromittiert oder exponiert“, beteuert OpenAI.
Am 9. November 2025 hat Mixpanel demnach unbefugte Zugriffe durch Angreifer auf Teile seiner Systeme bemerkt. Dabei haben der oder die Täter begrenzte Kundendaten und Analyse-Informationen ausgeschleust. Mixpanel hat OpenAI über den Vorfall und die Untersuchungen in Kenntnis gesetzt und am Dienstag, dem 25. November 2025, der Firma auch den betroffenen Datensatz geschickt.
Demnach können in dem unbefugten Datenexport Informationen aus Nutzerprofilen von API-Nutzern gelandet sein. Außerdem können die Namen, E-Mail-Adresse, angenäherte geografische Lage der Nutzer (Stadt, Bundesland, Land), Betriebssystem und Browser, mit denen die API genutzt wurde, Webseiten-Referrer und schließlich Organisations- oder User-IDs, die mit dem API-Konto verknüpft sind, betroffen sein.
Als Reaktion auf den IT-Vorfall hat OpenAI Mixpanel aus den Produktivsystemen entfernt und die betroffenen Datensätze untersucht. Die Untersuchungen zusammen mit Mixpanel dauern demnach noch an, um herauszufinden, welchen Umfang der Einbruch tatsächlich hatte. Betroffene Nutzer, Admins und Organisationen will OpenAI direkt kontaktieren. Auch wenn es keine Hinweise darauf gibt, dass Daten oder Systeme außerhalb der Mixpanel-Umgebung betroffen sind, will OpenAI sehr genau auf Zeichen von Missbrauch achten. Außerdem nimmt das Unternehmen zusätzliche und erweitere Sicherheitsuntersuchungen quer durch das Anbieter-Ökosystem vor und hebt die Sicherheitsanforderung für alle Partner und Anbieter an – ohne jedoch genauer zu benennen, was das genau bedeutet.
Mixpanel selbst erklärt in einem Blog-Beitrag, dass das Unternehmen am 8. November 2025 eine „Smishing“-Kampagne entdeckt habe. Dabei erhalten etwa Mitarbeiter SMS-Nachrichten, die sie zur Herausgabe von Zugangsdaten bringen sollen. Das habe umgehend den Incident-Response-Prozess ausgelöst – Mixpanel habe den unbefugten Zugriff begrenzt und schließlich beendet und die betroffenen Nutzerkonten gesichert. Zudem hat das Unternehmen externe Cybersicherheitspartner eingebunden, um auf den IT-Vorfall zu reagieren.
Betroffene Kunden will Mixpanel über den Vorfall informiert haben. Wer nicht von Mixpanel direkt gehört habe, sei nicht betroffen. Die Liste der Kunden enthält neben OpenAI noch weitere namhafte Unternehmen, etwa Joyn, LG, Pinterest, Workday oder Yelp. Möglicherweise melden in Kürze weitere Unternehmen einen diesbezüglichen IT-Vorfall.
(
Sie haben heise+ bereits abonniert? Hier anmelden.
Oder benötigen Sie mehr Informationen zum heise+ Abo