OpenAI ha informato i propri utenti di una violazione di dati che ha esposto le informazioni personali di un numero imprecisato di account. L’incidente di sicurezza non ha colpito direttamente i sistemi dell’azienda, ma ha coinvolto Mixpanel, un fornitore esterno di servizi di analisi dei dati utilizzato da OpenAI per monitorare l’attività sul portale dedicato agli sviluppatori.
Secondo quanto comunicato dall’azienda, la violazione ha interessato esclusivamente gli utenti che utilizzano l’interfaccia API tramite platform.openai.com, mentre gli utenti regolari di ChatGPT non sono stati coinvolti nell’incidente.
Il 9 novembre 2025, Mixpanel ha rilevato un accesso non autorizzato ai propri sistemi. Un aggressore è riuscito a esportare un dataset contenente informazioni identificative limitate degli utenti e dati analitici. Dopo aver avviato un’indagine interna, il 25 novembre Mixpanel ha condiviso con OpenAI il dataset compromesso, permettendo all’azienda di identificare gli account interessati.
I dati esposti nella violazione includono i nomi completi degli utenti, forniti durante la registrazione degli account su platform.openai.com, gli indirizzi email collegati agli account API, la posizione geografica approssimativa determinata tramite indirizzo IP e browser web, le informazioni sul sistema operativo e sul tipo di browser utilizzato, i siti web di provenienza e l’ID azienda/utente salvati negli account API.
OpenAI ha però rassicurato gli utenti affermando che le informazioni critiche sono rimaste al sicuro. Non sono state compromesse le conversazioni con ChatGPT e le richieste API, né i dati di utilizzo delle API, le password, le credenziali di accesso, le chiavi API, i dettagli di pagamento o i documenti d’identità governativi utilizzati per la verifica dell’età.
Nella comunicazione inviata via email agli utenti coinvolti, OpenAI ha sottolineato che si è trattato di un incidente avvenuto nei sistemi di Mixpanel e non di una violazione diretta della propria infrastruttura di sicurezza. L’azienda ha dichiarato che la trasparenza rappresenta un valore fondamentale e che per questo motivo ha scelto di informare gli utenti appena due giorni dopo aver ricevuto i dati relativi agli account compromessi.
Come misura precauzionale immediata, OpenAI ha interrotto completamente l’utilizzo dei servizi di Mixpanel e avviato un’indagine approfondita sull’accaduto. L’azienda ha inoltre avvertito gli utenti di prestare particolare attenzione a possibili tentativi di phishing e truffe di ingegneria sociale che potrebbero sfruttare i dati rubati per apparire più credibili.
Gli attacchi di phishing rappresentano infatti il rischio principale derivante da questo tipo di violazioni. I criminali informatici potrebbero utilizzare le informazioni esposte per creare email fraudolente personalizzate che sembrano provenire da OpenAI o da altri servizi legittimi, con l’obiettivo di rubare credenziali aggiuntive o diffondere malware.
OpenAI ha annunciato che intende implementare requisiti di sicurezza più rigorosi per tutti i fornitori esterni con cui collabora, al fine di prevenire incidenti simili in futuro. Questa violazione si aggiunge a una serie di problemi di sicurezza che hanno interessato l’azienda negli ultimi tempi, sollevando interrogativi sulla gestione della privacy e della protezione dei dati degli utenti.
Gli esperti di sicurezza informatica raccomandano agli utenti interessati di attivare l’autenticazione a più fattori su tutti i propri account online, di modificare le password utilizzando combinazioni uniche e complesse per ogni servizio, di monitorare attentamente le email in arrivo verificando sempre il mittente prima di cliccare su link o aprire allegati, e di diffidare di comunicazioni che richiedono azioni urgenti o la condivisione di informazioni sensibili.
Violazioni di dati di questo tipo sono diventate sempre più frequenti negli ultimi anni, coinvolgendo aziende di ogni dimensione e settore. La crescente dipendenza da servizi cloud e fornitori esterni aumenta la superficie di attacco potenziale, rendendo la sicurezza informatica una sfida sempre più complessa da affrontare.
Per gli utenti che desiderano verificare se il proprio account è stato coinvolto nella violazione, OpenAI sta inviando notifiche dirette via email agli interessati. Chi non ha ricevuto comunicazioni può considerarsi non coinvolto nell’incidente.
