OpenAI waarschuwt api-klanten voor phishing na inbraak bij analyticspartner

OpenAI informeert gebruikers dat zij mogelijk geraakt zijn door een aanval op Mixpanel, een leverancier van data-analytics. Dat bedrijf verzorgt webanalytics voor het api-product van de ChatGPT-maker. Aanvallers hebben van sommige api-accounts bij OpenAI data gestolen.

OpenAI benadrukt in zijn e-mails aan gebruikers, waaronder enkele tweakers, dat er geen systemen bij OpenAI zijn gehackt. Er zijn volgens het bedrijf geen chatberichten, api-verzoeken, api-gebruiksdata, wachtwoorden, inloggegevens, api-sleutels, betalingsinformatie of officiële identiteitsbewijzen gecompromitteerd of ingezien, meldt OpenAI.

De digitale inbraak raakt de webanalytics die OpenAI gebruikt voor de frontendinterface voor zijn api-product. "Het incident vond plaats binnen Mixpanels systemen en betrof beperkte analyticsdata gerelateerd aan jouw api-account." Mixpanel ontdekte deze inbraak volgens OpenAI op 9 november. Een aanvaller had ongeautoriseerde toegang tot een deel van de IT-systemen van dat partnerbedrijf. De inbreker wist een dataset te exporteren met daarin analyticsinformatie, maar ook klantgegevens. Mixpanel meldde aan OpenAI dat het de zaak onderzocht en deelde op 25 november de betreffende dataset van OpenAI-klanten.

Van api-gebruikers bij OpenAI is persoonlijke informatie buitgemaakt, waaronder namen, e-mailadressen, en browserlocatie. OpenAI waarschuwt zijn klanten alert te zijn op onverwachte e-mails of berichten, vooral als daarin links of attachments zitten.

Smishingaanval

Mixpanel noemt in zijn eigen melding van deze aanval geen namen van getroffen klanten. "We hebben proactief gecommuniceerd met alle getroffen klanten." Het stelt dat het de smishingcampagne op 8 november heeft ontdekt. Bij dat type aanval sturen cybercriminelen misleidende sms-berichten om gevoelige informatie zoals inloggegevens in handen te krijgen.

Na de ontdekking voerde Mixpanel zijn processen uit voor incident response. Het nam maatregelen zoals accounts resetten, actieve sessies en inlogs afbreken, en verdachte IP-adressen blokkeren en schakelde daarnaast een extern cybersecuritybedrijf in. De analyticsprovider raadt klanten aan om zelf ook zulke beveiligingsstappen te zetten. OpenAI geeft in zijn melding aan dat het niet alleen Mixpanel nu doorlicht op beveiliging, maar ook zijn hele ecosysteem van toeleveranciers tegen het licht houdt.

Door Jasper Bakker

Nieuwsredacteur

Feedback • 27-11-2025 14:15
14 • submitter: S7ven

27-11-2025 • 14:15

14

Submitter: S7ven

Lees meer

ChatGPT's spraakmodus kan voortaan tijdens gesprek afbeeldingen tonen
ChatGPT's spraakmodus kan voortaan tijdens gesprek afbeeldingen tonen Nieuws van 26 november 2025
Overheid VS schrapt zaak tegen SolarWinds over verstrekkende hackaanval
Overheid VS schrapt zaak tegen SolarWinds over verstrekkende hackaanval Nieuws van 26 november 2025
'OpenAI verwacht tegen 2030 220 miljoen betalende ChatGPT-gebruikers te hebben'
'OpenAI verwacht tegen 2030 220 miljoen betalende ChatGPT-gebruikers te hebben' Nieuws van 26 november 2025
RTV Noord-hack was ransomwareaanval, niet specifiek gericht op omroep
RTV Noord-hack was ransomwareaanval, niet specifiek gericht op omroep Nieuws van 14 november 2025
Meer producten en artikelen
Netwerk en systeembeheer Bedrijfsnieuws Politiek en recht Privacy Cybersecurity Datalek Hack OpenAI Security

Reacties (14)

-Moderatie-faq
14
14
7
0
0
3
Wijzig sortering

Sorteer op:

Weergave:
xxtremexx 27 november 2025 14:51
Waarom deelt OpenAI uberhaupt onversleutelde PII-gegevens met een analyticsprovider? Met de gelekte informatie, zoals e-mailadressen, kan een partij als Mixpanel eenvoudig een uitgebreid profiel opbouwen, zeker als zij vergelijkbare data ook van andere bronnen aangeleverd krijgen.
EvaluationCopy @xxtremexx27 november 2025 14:56
Doorverkoop? Ik moet eerlijk zeggen dat ik de kleine lettertjes van ChatGPT nooit heb gelezen.
Gemeni @xxtremexx27 november 2025 15:17
Bijvoorbeeld wanneer je aan analytics ook marketing acties wilt koppelen of juist als doel hebt profielen te verrijken…

Overigens is het versturen van emailadressen niet standaard bij Mixpanel als ik de API documentatie vlug scan, dus waarom OpenAI dat toch doet?

[Reactie gewijzigd door Gemeni op 27 november 2025 15:23]

CAPSLOCK2000
@xxtremexx28 november 2025 07:45
Waarom deelt OpenAI uberhaupt onversleutelde PII-gegevens met een analyticsprovider? Met de gelekte informatie, zoals e-mailadressen, kan een partij als Mixpanel eenvoudig een uitgebreid profiel opbouwen, zeker als zij vergelijkbare data ook van andere bronnen aangeleverd krijgen.
Omdat het goedkoper is en als er iets mis gaat kunnen ze lekker de schuld geven aan hun partner en zelf hun handen wassen in onschuld. Vervolgens stappen ze over naar de volgende partner tot er daar iets misg aat. Op de een of andere manier slikt onze maatschappij het. Mixpanel heeft waarschijnlijk ook boter op het hoofd en heeft dat contract (mede) gekregen omdat ze lekker goedkoop waren en niet te moeilijk deden.

Nu kan OpenAI lekker stoer zeggen dat ze de relatie met Mixpanel hebben beëindigd en dat ze de veiligheid van hun leveranciers onderzoeken. Dus eigenlijk zeggen ze dat ze niet om veiligheid gaven tot het fout ging. Ik verwacht dat OpenAI morgen een nieuw contract sluit met nieuwe huurlingen zondebokken partners.

Natuurlijk snap ik dat bedrijven niet alles zelf doen maar werk uitbesteden aan partners, maar het wordt te vaak gebruikt als excuus voor twijfelachtige zaken. In dit geval heb heb ik mijn twijfels bij het hele bedrijf, ze zijn gespecialiseerd in "user tracking, engagement monitoring and retention". Het klinkt dus vooral als een datastofzuiger, een van de parasieten van de moderne maatschappij. En ja, talloze bedrijven maken gebruik van dat soort diensten, maar dat maakt het nog niet ok.
demianmonteverd @CAPSLOCK200028 november 2025 10:03
Het is inderdaad onderbelicht in de communicatie waarom email gedeeld is met deze leverancier. Goed punt.
maradesign 27 november 2025 15:14
Ik kreeg de mail van open AI gisteren inderdaad. Daarin stond dat mijn account gegevens onderdeel waren van de buit en ik extra moest oppassen voor phishing etc. Maar wat heeft mijn e-mailadres nu voor nut bij een analytische partij. Dit gaat toch weer helemaal nergens over? Gebruikers data, tijden van de dag, hoeveel er wordt gebruikt dat snap ik allemaal best, maar waarom konden ze bij mijn adres, mail naam etc... zoveelste issue bij een partij die gewoon veel te veel data verzameld nergens voor nodig.

[Reactie gewijzigd door maradesign op 27 november 2025 15:14]

Tao-lee @maradesign27 november 2025 16:24
Ik heb die mail om 07:02 vandaag gekregen.
Had de mail gelezen en dacht eerst dat het spam was, ging eerst de header controleren maar die bleek te kloppen. Ik maak geen gebruik van de API, heb wel de plus abonnement. Had ooit een keer een api key aangemaakt maar kwam achter dat ik geen kaart had die hun betaal methode ondersteunen.

Offtopic, jammer dat er nog steeds geen IDeal of Paypal betaal mogelijkheid is voor de API.
supersnathan94
@Tao-lee27 november 2025 19:49
Ik maak geen gebruik van de API
Had ooit een keer een api key aangemaakt
Maar dat is dus niet eens relevant. Als je ooit bent ingelogd op de API page is het al voldoende
BillyTheClit 27 november 2025 14:52
Waarom heeft zo'n analytics partner dergelijke gegevens nodig? Zou een ID niet volstaan om te koppelen aan een account? Weeral heel slordig om zo'n info bij een derde partij (en wie weet bij hoeveel anderen) te laten slingeren. En ondertussen is het weer de verantwoordelijkheid van de klant die alert moet zijn voor allerlei rommel die gebruik maakt van de gestolen data.

Edit: typo

[Reactie gewijzigd door BillyTheClit op 27 november 2025 14:52]

divvid @BillyTheClit27 november 2025 15:24
en kijk een s hoeveel partners Tweakers heeft, een gazillion. Je weet als bezoeker echt niet meer waar je data naar toe gaat.
BLACKfm @divvid27 november 2025 16:08
Maarja, geld, dus lekker belangrijk voor Tweakers/DPG media :). Het is pas een probleem als het fout gaat, en als het fout gaat is het 'Dat was net zo goed gebeurd op een van die andere 50 websites die je hebt bezocht'.
demianmonteverd @divvid28 november 2025 10:03
Maar stuurt Tweakers je email naar deze partners?
divvid @demianmonteverd28 november 2025 13:58
Indien je ook een DPG-account hebt, kunnen we je e-mailadres en telefoonnummer in gehashte vorm delen met deze netwerken. Wanneer je hun diensten met hetzelfde e-mailadres of telefoonnummer gebruikt, kunnen we je bereiken met gepaste advertenties
effectief, ja dus. Die hash is vrij makkelijk te koppelen aan andere gegevens, dus het kan zomaar zijn dat die derde partij ineens jouw telefoon nummer heeft ondanks dat je dat nooit zelf aan die derde partij gegeven hebt, maar toevallig?! wel hetzelfde email hebt gebruikt
demianmonteverd @divvid28 november 2025 14:04
Ik ben niet op de hoogte van de implementatie, maar als ze zelf een secret aanhouden dan hoeft het niet te betekenen dat je email gedeeld is (tenzij ze ook het secret delen natuurlijk).

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq