OpenAI a mis fin à son partenariat avec la société d’analyse Mixpanel suite à un violation de données qui exposait les informations personnelles des développeurs utilisant sa plateforme API. L’incident, qu’OpenAI a rendu public le 27 novembre 2025, découle d’une intrusion non autorisée dans les systèmes de Mixpanel le 9 novembre 2025. Alors que Mixpanel a alerté OpenAI de l’enquête peu de temps après la violation, l’ensemble de données spécifique confirmant l’exposition des profils de développeurs OpenAI n’a été partagé que le 25 novembre 2025.
La violation est strictement limitée aux utilisateurs de platform.openai.coml’environnement dans lequel les développeurs créent et gèrent des applications à l’aide des modèles OpenAI. OpenAI a explicitement confirmé que l’incident n’a pas touché sa propre infrastructure ou le service ChatGPT destiné aux consommateurs.
Les informations d’identification de sécurité critiques, notamment les mots de passe, les clés API, les informations de paiement et les identifiants gouvernementaux, restent sécurisées. Cependant, l’ensemble de données divulgué contient des métadonnées qui pourraient être utilisées pour des attaques ciblées d’ingénierie sociale. Les champs exposés incluent les noms et adresses e-mail associés aux comptes API, les identifiants d’organisation, les identifiants d’utilisateur, les détails du navigateur et du système d’exploitation, les sites Web référents et les données de localisation grossières dérivées des sessions de navigateur.
En réponse à la défaillance du fournisseur, OpenAI a supprimé Mixpanel de ses services de production et mène un examen de sécurité approfondi de l’ensemble de son écosystème tiers. Bien que la violation n’ait pas compromis les jetons d’authentification, OpenAI conseille à tous les utilisateurs d’activer l’authentification multifacteur (MFA) comme moyen de défense contre de futures tentatives de bourrage d’informations d’identification ou de phishing qui pourraient exploiter les données de profil divulguées. Cet événement souligne les vulnérabilités de la chaîne d’approvisionnement inhérentes à la mise à l’échelle des plates-formes logicielles ; Même lorsque la forteresse d’une entreprise principale est sécurisée, les fournisseurs d’analyses et d’utilitaires tiers intégrés dans sa pile peuvent servir de portes dérobées ouvertes pour l’exfiltration de données.
