OpenAI heeft de samenwerking met analysebedrijf Mixpanel beëindigd na een incident datalek die de persoonlijke informatie van ontwikkelaars openbaarde die zijn API-platform gebruikten. Het incident, dat OpenAI op 27 november 2025 openbaar maakte, komt voort uit een ongeoorloofde inbraak in de systemen van Mixpanel op 9 november 2025. Terwijl Mixpanel OpenAI kort na de inbreuk op de hoogte bracht van het onderzoek, werd de specifieke dataset die de openbaarmaking van OpenAI-ontwikkelaarsprofielen bevestigde pas op 25 november 2025 gedeeld.
De inbreuk is strikt beperkt tot gebruikers van platform.openai.comde omgeving waarin ontwikkelaars applicaties bouwen en beheren met behulp van de modellen van OpenAI. OpenAI heeft dat expliciet gedaan bevestigd dat het incident geen gevolgen had voor de eigen infrastructuur of de consumentgerichte ChatGPT-service.
Kritieke beveiligingsreferenties, waaronder wachtwoorden, API-sleutels, betalingsinformatie en overheids-ID’s, blijven veilig. De gelekte dataset bevat echter metadata die kunnen worden ingezet voor gerichte social engineering-aanvallen. Blootgestelde velden omvatten de namen en e-mailadressen die zijn gekoppeld aan API-accounts, organisatie-ID’s, gebruikers-ID’s, browser- en besturingssysteemdetails, verwijzende websites en grove locatiegegevens afgeleid van browsersessies.
Als reactie op het falen van de leverancier heeft OpenAI Mixpanel uit zijn productiediensten verwijderd en voert een uitgebreide beveiligingsbeoordeling uit van het gehele ecosysteem van derden. Hoewel de inbreuk de authenticatietokens niet in gevaar heeft gebracht, adviseert OpenAI alle gebruikers om multi-factor authenticatie (MFA) in te schakelen als voorzorgsmaatregel tegen toekomstige credential stuffing of phishing-pogingen waarbij gebruik kan worden gemaakt van de gelekte profielgegevens. Deze gebeurtenis onderstreept de kwetsbaarheden in de toeleveringsketen die inherent zijn aan het opschalen van softwareplatforms; Zelfs als het fort van een primair bedrijf veilig is, kunnen de externe analyse- en nutsbedrijven die in hun stack zijn geïntegreerd, dienen als open achterdeur voor data-exfiltratie.
