Benutzerdaten der API offengelegt, Unternehmen warnt vor möglichen Phishing-Angriffen
OpenAI bestätigte am Mittwoch, dass ein jüngster Sicherheitsvorfall beim Analyseanbieter Mixpanel Kontoinformationen einiger Nutzer seiner API offengelegt hat.
Während der Vorfall ChatGPT-Nutzer, die die Plattform direkt nutzen, nicht betroffen hat, hat der Vorfall Bedenken hinsichtlich Phishing- und Social-Engineering-Angriffen auf betroffene Konten ausgelöst.
Was passiert ist
Laut Mixpanel verschaffte sich ein unbekannter Angreifer am 8. November 2025 Zugriff auf Teile seiner Systeme und exportierte einen Datensatz, der kundenidentifizierbare Metadaten und Analyseinformationen enthielt. Die gestohlenen Daten umfassten Kontonamen, E-Mail-Adressen, ungefähre standortbasierte Informationen über den Browser, Betriebssystem und Browserdetails.
OpenAI erklärte, dass keine Prompts, API-Schlüssel, Authentifizierungs-Token, Passwörter oder Zahlungsinformationen kompromittiert wurden.
Nur Nutzer, die OpenAI-Technologie über die API oder über Drittanbieter-Apps, die von GPT-Modellen betrieben werden, verwendeten, waren betroffen.
OpenAI stellte klar, dass Nutzer, die ChatGPT direkt auf der Website verwenden, nicht betroffen waren.
„OpenAI hat die Nutzung von Mixpanel im Rahmen der Reaktion auf diesen Vorfall beendet“, sagte das Unternehmen in einer Erklärung und fügte hinzu, dass es eng mit Partnern zusammenarbeitet, um das Ausmaß des Datenlecks vollständig zu verstehen und betroffene Nutzer und Organisationen zu benachrichtigen.
Unmittelbare Reaktion und Schadensbegrenzung
Nach dem Vorfall sicherte Mixpanel betroffene Konten, widerrief aktive Sitzungen, rotierte kompromittierte Anmeldedaten und blockierte bösartige IP-Adressen.
Passwörter der Mitarbeiter wurden zurückgesetzt, und externe Cybersicherheitsfirmen wurden beauftragt, Authentifizierungs-, Sitzungs- und Exportprotokolle zu überprüfen.
Mixpanel begann, Kunden direkt über den Vorfall zu informieren.
„Wenn Sie nicht direkt von uns gehört haben, waren Sie nicht betroffen“, sagte Mixpanel-CEO Jen Taylor und betonte das Engagement des Unternehmens für Transparenz und Sicherheit.
OpenAI implementierte ebenfalls eigene Maßnahmen. Das Unternehmen entfernte Mixpanel aus Produktionsdiensten, überprüfte betroffene Datensätze und startete erweiterte Sicherheitsüberprüfungen im gesamten Anbietersystem.
Nutzer wurden angewiesen, Multi-Faktor-Authentifizierung zu aktivieren und wachsam gegenüber Phishing-Versuchen zu bleiben, insbesondere gegenüber sogenannten „Smishing“-Angriffen per SMS, die laut Cybersicherheitsfirma Spacelift 39 % der mobilen Bedrohungen im Jahr 2024 ausmachten.
Risiken und Hinweise für Nutzer
Obwohl die gestohlenen Daten auf Metadaten beschränkt waren, warnen Experten, dass diese dennoch in gezielten Phishing-Kampagnen ausgenutzt werden könnten. Namen, E-Mail-Adressen und ungefähre Standorte könnten es Angreifern ermöglichen, glaubwürdig aussehende Nachrichten zu erstellen.
OpenAI riet betroffenen Nutzern, vorsichtig bei E-Mails, SMS oder anderen Mitteilungen zu sein, die Passwörter, API-Schlüssel oder Verifizierungscodes anfordern, und sicherzustellen, dass jede Kommunikation, die vorgibt, von OpenAI zu stammen, von offiziellen Domains kommt.
„Dieser Vorfall zeigt, dass moderne KI-Ökosysteme keine in sich geschlossenen Festungen sind, sondern sich auf ein komplexes Netzwerk oft unregulierter Drittanbieter stützen“, sagte David Schwed, COO des KI-Sicherheitsunternehmens SovereignAI.
„Eine Sicherheitslücke an einer peripheren Stelle wie Mixpanel kann den gesamten Stack kompromittieren und Nutzer betreffen, die dem Ökosystem vertrauen.“
Transparenz und Verantwortung
OpenAI betonte, dass es sich nicht um eine Kompromittierung der eigenen Systeme handelte. Chats, API-Anfragen oder persönliche Anmeldeinformationen der Nutzer blieben sicher. Der Vorfall hebt jedoch die Risiken hervor, die mit der Abhängigkeit von Drittanbietern für Analysen und Nutzerdatenverwaltung verbunden sind.
„Wir sind der Transparenz verpflichtet und benachrichtigen alle betroffenen Kunden und Nutzer“, sagte OpenAI.
„Wir verpflichten auch unsere Partner und Anbieter zu den höchsten Standards für Sicherheit und Datenschutz ihrer Dienste.“
Einige API-Nutzer äußerten in sozialen Medien Frustration, dass ein Drittanbieter Zugriff auf ihre persönlichen Informationen hatte.
„Dass OpenAI Namen und E-Mails an eine externe Analyseplattform (Mixpanel) sendet, erscheint mir äußerst unverantwortlich“, schrieb ein Nutzer und wies auf ein breiteres Problem der Datenverwaltung in KI-Ökosystemen hin.
Obwohl keine sensiblen Zugangsdaten offengelegt wurden, zeigt OpenAIs entschlossene Reaktion – einschließlich der Beendigung der Zusammenarbeit mit Mixpanel und der Überprüfung der Sicherheitspraktiken der Anbieter – die Herausforderungen bei der Absicherung komplexer KI-Plattformen.
„Die Sicherheit und der Datenschutz unserer Produkte haben oberste Priorität“, erklärte das Unternehmen erneut und bekräftigte sein Engagement zum Schutz der Nutzerdaten und zur Aufrechterhaltung des Vertrauens in sein KI-Ökosystem.
OpenAI überwacht weiterhin die Situation und fordert API-Nutzer auf, wachsam zu bleiben.
HODL Team
Haftungsausschluss: Alle Materialien auf dieser Seite dienen nur zu Informationszwecken. Keines der Materialien sollte als Anlageberatung interpretiert werden. Bitte beachten Sie, dass trotz der Art vieler Materialien, die auf dieser Website erstellt und gehostet werden, HODLFM.DE keine Finanzreferenzressource ist und die Meinungen von Autoren und anderen Mitwirkenden ihre eigenen sind und nicht als finanzielle Beratung aufgefasst werden sollten. Wenn Sie eine solche Beratung benötigen, empfiehlt HODLFM.DE dringend, sich an einen qualifizierten Fachmann der Branche zu wenden.
