OpenAI ha recentemente segnalato che alcuni utenti della sua piattaforma potrebbero essere stati coinvolti in una violazione dei dati verificatasi presso Mixpanel, l’ex fornitore di analisi dati dell’azienda. La notizia, resa pubblica negli ultimi giorni, riguarda esclusivamente gli sviluppatori che utilizzano le API di OpenAI per creare prodotti basati sull’intelligenza artificiale. Gli utenti comuni di ChatGPT non risultano quindi esposti, a meno che non facciano uso delle API stesse.

Mixpanel ha rilevato l’incidente il 9 novembre, condividendo poi i dataset compromessi con OpenAI il 25 novembre. Secondo quanto comunicato, i dati coinvolti includono informazioni di profilo associate agli account della piattaforma come nomi, indirizzi email, localizzazione approssimativa, dettagli sul sistema operativo e sul browser, siti di provenienza delle richieste, oltre a identificativi di organizzazioni o utenti legati agli account. Non si segnalano, al momento, compromissioni dirette dei sistemi OpenAI al di fuori dell’ambiente di Mixpanel.

In risposta all’attacco, OpenAI ha immediatamente interrotto l’utilizzo dei servizi Mixpanel nella propria infrastruttura produttiva. L’azienda ha inoltre avviato una revisione più ampia della sicurezza tra i propri fornitori, aggiornando i requisiti minimi di protezione per tutti i partner e implementando controlli più rigorosi sui dati condivisi.

La fiducia, la sicurezza e la privacy rappresentano pilastri fondamentali dei nostri prodotti e della nostra missione aziendale,” si legge nella nota ufficiale di OpenAI. “Siamo impegnati a garantire la massima trasparenza e a informare tutti i clienti e gli utenti impattati. I nostri partner e fornitori devono mantenere standard elevati per la sicurezza dei servizi offerti.”

screenshot-openai.com-2025.11.28-10_37_44

Dal punto di vista operativo, OpenAI ha iniziato a notificare direttamente gli utenti e le organizzazioni interessate, seguendo prassi consolidate in caso di data breach. Sebbene non sia stata resa pubblica la quantità esatta di account coinvolti, la società ha consigliato di prestare attenzione a possibili tentativi di phishing, senza però ritenere necessario un reset immediato delle password. Il rischio principale riguarda email ingannevoli contenenti link o allegati sospetti, finalizzati a carpire credenziali di accesso o codici di verifica.

La scelta di Mixpanel come partner per le analisi web aveva permesso in passato a OpenAI di monitorare l’utilizzo delle API e comprendere meglio le interazioni degli sviluppatori con la piattaforma. Tuttavia, la violazione ha convinto l’azienda a cessare ogni collaborazione, sottolineando l’importanza di controlli rigorosi e di un ecosistema di fornitori più sicuro. OpenAI ha inoltre ribadito l’impegno a lavorare a stretto contatto con gli altri partner per comprendere appieno l’entità dell’incidente e prevenire eventuali conseguenze ulteriori.

Mixpanel, interpellata dai media, ha preferito rimandare alle dichiarazioni ufficiali di OpenAI, senza aggiungere dettagli ulteriori sul breach.

Questo episodio evidenzia quanto sia cruciale, per aziende che operano nel settore AI e tech, mantenere sotto controllo l’intera catena dei fornitori di servizi e analytics. La protezione dei dati sensibili, la trasparenza verso gli utenti e la capacità di rispondere rapidamente a incidenti esterni rappresentano ormai requisiti imprescindibili in un contesto dove la fiducia digitale è parte integrante della competitività e della reputazione di un’azienda.