A OpenAI confirmou um incidente de segurança na Mixpanel, empresa parceira da startup que oferecia análise de dados. A falha expôs informações de perfis vinculados à API da OpenAI, como nomes e e-mails de desenvolvedores que usam a plataforma. Segundo a empresa, usuários do ChatGPT, senhas, métodos de pagamento e dados de uso privados não foram afetados.
A brecha ocorreu exclusivamente na infraestrutura da Mixpanel, mas o tipo de dado exposto abre margem para ataques de phishing e engenharia social contra desenvolvedores, especialmente aqueles que já utilizam a API em produtos e serviços.
Após identificar o incidente, a OpenAI encerrou a parceria com a Mixpanel e passou a orientar os possíveis afetados a reforçar medidas de segurança em suas contas.
Entenda o que foi roubado no ataque à plataforma de análise de terceiros
O incidente ocorreu fora da OpenAI, dentro da infraestrutura da Mixpanel. O serviço de análise de dados era usado para monitorar o comportamento de navegação no frontend da plataforma de API (platform.openai.com).
Segundo a OpenAI, não houve acesso indevido aos seus sistemas internos. E usuários do ChatGPT ou de outros produtos da startup não foram impactados. Ou seja: a exposição ficou restrita a informações coletadas pela Mixpanel para fins analíticos.
De acordo com a investigação da empresa, a Mixpanel detectou que uma parte não autorizada tinha acessado seus sistemas internos e realizado o download de um conjunto de dados em 9 de novembro de 2025.
Isso ocorreu após um ataque originado numa campanha de smishing (golpe por mensagens de texto fraudulentas). A empresa notificou a OpenAI e entregou uma cópia desses dados na terça-feira (25), o que permitiu à desenvolvedora do ChatGPT avaliar o impacto.
Os dados extraídos incluem:
- Nomes e e-mails associados a contas de API;
- Localização aproximada, inferida pelo navegador;
- Sistema operacional e navegador usados;
- Sites de referência e IDs de usuário ou organização vinculados à API.
A OpenAI reforça que nenhum dado sensível ou operacional (por exemplo: conversas, chamadas de API, senhas, chaves de API, detalhes de pagamento ou informações governamentais) foi comprometido.
OpenAI encerra parceria com Mixpanel e alerta sobre risco de phishing e engenharia social
Assim que confirmou o incidente, a OpenAI encerrou a parceria com a Mixpanel e iniciou uma auditoria interna para avaliar possíveis impactos. Organizações, administradores e usuários afetados estão sendo notificados diretamente.
Até agora, a OpenAI não encontrou vestígios de impacto fora do ambiente da Mixpanel, mas afirma que continuará monitorando eventuais mudanças.
A empresa ampliou as revisões de segurança em seu ecossistema de fornecedores e elevou os requisitos de proteção exigidos de todos os parceiros externos.
Em comunicado, reiterou que “confiança, segurança e privacidade são fundamentais para nossos produtos, nossa organização e nossa missão”.
Apesar de classificadas como de “baixa sensibilidade”, as informações expostas podem ser usadas em campanhas de phishing e engenharia social direcionadas a desenvolvedores.
Leia mais:
- Falha em portais de jurados expõe dados pessoais nos EUA e no Canadá
- Celular clonado: como identificar o golpe e o que fazer para se proteger
- 5 dicas para não cair em golpes com IA na Black Friday
O especialista Jake Moore, da ESET, explicou ao Business Insider que esses dados podem ser combinados para “montar mensagens fraudulentas convincentes”.
Por isso, a OpenAI recomenda:
- Atenção especial a mensagens suspeitas;
- Verificação de domínios oficiais;
- Ativação de autenticação multifator (MFA).
A empresa também reforça que nunca solicita senhas, chaves de API ou códigos de verificação por e-mail, texto ou chat. Como senhas e chaves não foram afetadas, não há indicação de que precisem ser trocadas neste momento.
O post ChatGPT a salvo, devs em alerta: Entenda o vazamento de dados ligado à OpenAI apareceu primeiro em Olhar Digital.
