OpenAI a confirmé avoir été indirectement touché par un incident de sécurité chez Mixpanel, fournisseur d’analytics web utilisé sur son interface API. L’acteur malveillant a pu exporter des métadonnées de comptes API, sans compromettre les contenus générés, les clés API ou les données sensibles. OpenAI a immédiatement retiré Mixpanel de ses environnements de production et a commencé à notifier les organisations potentiellement concernées.
Un incident d’origine tierce détecté par Mixpanel
Selon les informations publiées par OpenAI, Mixpanel a détecté le 9 novembre un accès non autorisé à une partie de ses systèmes internes. Cet accès aurait permis l’exportation d’un jeu de données incluant des métadonnées associées à des comptes API OpenAI. L’entreprise américaine a été informée de la situation peu après et a reçu le détail du jeu de données compromis le 25 novembre.
Dans son communiqué, OpenAI précise que l’incident ne résulte pas d’une compromission de son infrastructure, mais bien d’un problème survenu chez un prestataire utilisé pour la collecte d’analytics sur platform.openai.com.
Données concernées : uniquement des métadonnées, pas de contenus
OpenAI insiste sur la nature des données potentiellement exposées. Seules des informations techniques ou contextuelles liées aux comptes API sont concernées : nom associé au compte, adresse e-mail, ville et pays, système d’exploitation, navigateur, sites référents et identifiants d’utilisateur ou d’organisation.
Aucune donnée sensible, telle que les contenus de chat, les requêtes ou réponses API, les clés API, les mots de passe ou les informations de paiement, n’a été compromise. Aucune information issue des interactions avec ChatGPT n’est exposée. L’incident reste donc circonscrit à un périmètre métadonnées, bien que celles-ci puissent alimenter des tentatives de phishing ou de social engineering ciblé. Dès la prise de connaissance de l’incident, OpenAI a évidemment retiré Mixpanel de tous ses services de production et entrepris une analyse approfondie du jeu de données compromis. L’entreprise affirme collaborer étroitement avec Mixpanel et d’autres partenaires pour évaluer l’étendue précise de l’exposition.
Parallèlement, OpenAI procède à la notification directe des comptes ou organisations potentiellement impactés. Le groupe encourage également l’ensemble de ses utilisateurs à activer l’authentification multi-facteurs et à rester vigilants face aux tentatives de phishing susceptibles d’exploiter les métadonnées exposées.
