Nachdem die Aktualisierung von GPT-5.1 und dann die Gruppenfunktion angekündigt wurde, hat OpenAI, der Herausgeber von ChatGPT, eine ganz andere Ankündigung gemacht: Sie hat ihre Kunden per E-Mail über einen Sicherheitsvorfall bei ihrem Analytikdienstleister Mixpanel informiert. Obwohl die Auswirkungen laut der Kommunikation von OpenAI begrenzt erscheinen, wirft diese Situation erneut die Frage des Datenschutzes im Zusammenhang mit KI-Tools auf. Hier sind die wesentlichen Elemente, die man kennen muss, um das Ausmaß des Ereignisses und die ergriffenen Maßnahmen zu verstehen.
Über den Mixpanel-Vorfall und die betroffenen Daten
OpenAI hat angegeben, dass ein böswilliger Akteur am 9. November 2025 unbefugten Zugriff auf einen Teil der Systeme von Mixpanel erlangt hat. Dieser Zugriff ermöglichte den Export eines begrenzten Satzes von Informationen, die mit API-Konten verbunden sind, die die Webschnittstelle platform.openai.com verwenden. Laut den übermittelten Informationen wurden keine sensiblen Daten im Zusammenhang mit Austauschen, API-Anfragen, Passwörtern, staatlichen Identifikatoren oder Zahlungsmitteln offengelegt.
Die potenziell betroffenen Elemente beschränken sich auf Profildaten und Informationen im Zusammenhang mit der technischen Umgebung des Browsers: auf dem API-Konto angegebener Name, E-Mail-Adresse, ungefähre Standortbestimmung basierend auf dem Browser (Stadt, Bundesland, Land), Betriebssystem, Browser, verweisende Websites und mit dem Konto verbundene Organisations- oder Benutzerkennungen.
Reaktion von OpenAI und ergriffene Sicherheitsmaßnahmen
Nach Erhalt der Warnung von Mixpanel hat OpenAI diesen Dienstleister sofort aus seinen Produktionsdiensten entfernt. Das Unternehmen führte anschließend eine detaillierte Überprüfung der betroffenen Datensätze durch und arbeitete eng mit Mixpanel sowie anderen Partnern zusammen, um das Ausmaß des Vorfalls zu verstehen. Die betroffenen Organisationen, Administratoren und Benutzer werden individuell benachrichtigt.
OpenAI gibt an, keine Hinweise darauf zu haben, dass der Vorfall seine eigenen Systeme betroffen hat. Das Unternehmen verstärkt jedoch seine Kontrollen innerhalb seines gesamten Lieferantenökosystems und wendet erhöhte Sicherheitsanforderungen an. Es hat auch die Nutzung von Mixpanel endgültig beendet.
Phishing-Risiken und zu treffende Vorsichtsmaßnahmen
Die offengelegten Informationen, wie Name, E-Mail-Adresse oder Benutzermetadaten, können im Rahmen von Phishing-Versuchen oder sozialer Manipulation ausgenutzt werden. OpenAI ermutigt alle betroffenen Benutzer, wachsam gegenüber Nachrichten zu sein, die offizielle Mitteilungen nachahmen könnten.
Die Empfehlungen umfassen die sorgfältige Prüfung unerwarteter Nachrichten, die Überprüfung des genauen Ursprungs empfangener E-Mails, das Nichtübermitteln von Passwörtern, API-Schlüsseln oder Verifizierungscodes sowie die Aktivierung der Multi-Faktor-Authentifizierung zur Verstärkung des Kontoschutzes.
Transparenz und Engagement von OpenAI
OpenAI erinnert daran, dass Sicherheit, Vertraulichkeit und Vertrauen im Mittelpunkt seiner Mission stehen. Das Unternehmen verpflichtet sich, seine Benutzer klar zu informieren, wenn ein Vorfall auftritt, und hohe Standards bei all seinen Technologieanbietern aufrechtzuerhalten.
Für weitere Fragen oder Unterstützung können Benutzer ihr dediziertes Team oder die von OpenAI angegebene Adresse (mixpanelincident [AT] openai.com) kontaktieren. Ein ausführlicher Blogartikel steht ebenfalls zur Verfügung, um das Thema zu vertiefen.
Quelle: https://openai.com/index/mixpanel-incident/