Der AI-Platzhirsch OpenAI wurde am 9. November 2025 über den Dienstleister Mixpanel gehackt. Wer die API-Dienste von OpenAI genutzt hat, sollte davon ausgehen, dass die Angreifer Name, den Standort, die Benutzer-ID und andere Informationen abgegriffen hat. Das ist gerade von OpenAI bekannt gegeben worden.
Ich bin gerade über nachfolgenden Tweet, der die Erklärung von OpenAI enthält, über diesen Sachverhalt gestolpert. OpenAI informiert auf dieser Webseite über den Mixpanel Sicherheitsvorfall.
Am 9. November 2025 wurde Mixpanel darauf aufmerksam, dass ein Angreifer unbefugten Zugriff auf einen Teil der eigenen Systeme erlangt und einen Datensatz mit begrenzten kundenbezogenen Informationen und Analysedaten abgezogen hatte. Der Vorfall ereignete sich innerhalb der Systeme von Mixpanel und betraf begrenzte Analysedaten zu einigen Nutzern der API, heißt es.
Nutzer von ChatGPT und anderen Produkten seien von diesem Cyberangriff nicht betroffen, betont OpenAI. Mixpanel informierte OpenAI über die laufenden Ermittlungen zum Cybervorfall und übermittelte dem Unternehmen am 25. November 2025 den betroffenen Datensatz. Basierend auf diesem Datensatz geht OpenAI nun davon aus, dass Benutzerprofilinformationen im Zusammenhang mit der Anmeldung und Nutzung der OpenAI-Plattform aus Mixpanel abgeflossen sein können. Die möglicherweise betroffenen Informationen umfassen dabei folgende Daten:
- Name, der im API-Konto angegeben wurde
- E-Mail-Adresse, die mit dem API-Konto verknüpft ist
- Ungefähre grobe Standortangabe basierend auf dem Browser des API-Benutzers (Stadt, Bundesland, Land)
- Betriebssystem und Browser, die für den Zugriff auf das API-Konto verwendet wurden
Verweisende Websites - Mit dem API-Konto verknüpfte Organisations- oder Benutzer-IDs
OpenAI hat nun die Verbindung zu Mixpanel aus seinen Produktionsdiensten entfernt und die betroffenen Datensätze überprüft. Man arbeitet laut Aussage eng mit Mixpanel und anderen Partnern zusammen, um den Vorfall und sein Ausmaß vollständig zu verstehen.
Derzeit ist OpenAI dabei, die betroffenen Organisationen, Administratoren und Benutzer direkt zu benachrichtigen. Obwohl OpenAI keine Hinweise auf Auswirkungen auf Systeme oder Daten außerhalb der Umgebung von Mixpanel gefunden hat, beobachtet man weiterhin aufmerksam, ob Anzeichen für einen Missbrauch auftreten.
Die Kollegen von Bleeping Computer haben in diesem Beitrag auf die Pressemitteilung von Mixpanel verwiesen. Mixpanel berichtete, dass der Angriff "nur eine begrenzte Anzahl Kunden betroffen hat" und auf eine Smishing-Kampagne (SMS-Phishing) zurückzuführen ist, die das Unternehmen am 8. November entdeckt hat.
Kann schon mal passieren, das sich Daten, das neue Öl, und die müssen halt fließen. Kann man nix machen.
MVP: 2013 – 2016
Günther, die Überschrift ist halt maximal Irreführend.
Hier wurde nicht OpenAI gehackt, sondern irgendwer anderes. Und Zugangsdaten die dort liegen wurden verloren, oder auch nicht.
Wenn Fachinformatiker verschlimmbessern.
Was wirklich geschah: "This was not a breach of OpenAI's systems. No chat, API requests, API usage data, passwords, credentials, API keys, payment details, or government IDs were compromised or exposed." (1). Also nix "Zugangsdaten verloren, oder auch nicht.".
–
(1) https://openai.com/index/mixpanel-incident/
steht doch so da: über Dienstleister gehackt… wenn da meine (wenn ich den son Shice nutzen würde) Daten abhanden gekommen wären ist es mir doch scheißegal ob die über nen Dienstleiter reingekommen sind oder direkt. Daten sind weg/fustch ist nunmal Daten sind weg/futsch! Über welchen Weg das passiert ist interesiert da mich nicht, das ist allenfallls für OpenAI wichtig um die Löcher zu stopfen!
Aber die Daten sind doch nicht weg. Die sind noch da. Und noch woanders, also das völlige Gegenteil von weg.
Also es ist schon ein deutlicher Unterschied, wenn ich einen Schlüssel verliere, und ich im Anschluss behaupte "jemand hat die Tür aufgebrochen", aber in Wirklichkeit die Türe einfach aufgesperrt wurde.