FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

事件概述：Mixpanel 客户资料遭窃

OpenAI 近日承认发生重大数据泄露事件。黑客入侵其分析合作伙伴 Mixpanel 的系统，成功窃取了 OpenAI API 门户的客户资料信息。两家公司已发布联合声明证实此事。

Mixpanel CEO Jen Taylor 在公告中披露，该事件发生于 11 月 8 日，公司当时"检测到短信钓鱼攻击并立即启动了事件响应流程"。短信钓鱼（Smishing）是一种针对特定员工的短信钓鱼手段，由于能绕过企业常规防护而备受黑客青睐。攻击者借此获取了 Mixpanel 系统访问权限，窃取了与 platform.openai.com 账户相关的多项元数据：

• API 账户注册时提供的姓名
• 关联 API 账户的电子邮箱
• 基于 API 用户浏览器的地理位置（城市、州、国家）
• 访问 API 账户使用的操作系统和浏览器类型
• 来源网站
• 关联 API 账户的组织或用户 ID

Taylor 强调："我们已主动联系所有受影响客户。若您未收到直接通知，则表明未受影响。"

OpenAI 的应对措施

OpenAI 在独立声明中透露，Mixpanel 于 11 月 25 日向其共享了受影响客户数据集。经评估后，OpenAI 已终止使用 Mixpanel 服务，暗示此次合作可能永久终止。

OpenAI 澄清，此次事件仅影响部分 platform.openai.com 账户持有者，ChatGPT 及其他产品用户不受波及。公司表示："我们正在直接通知受影响组织、管理员和用户。尽管目前未发现 Mixpanel 环境外系统或数据受影响迹象，我们仍持续监控可能的滥用行为。"

OpenAI 特别强调："本次事件并非 OpenAI 系统遭入侵。聊天记录、API 请求、使用数据、密码、凭证、API 密钥、支付信息及政府身份证件均未泄露。"

客户应对指南

此次事件涉及三个风险层级：受影响 OpenAI API 客户范围、攻击者可能如何利用被盗数据，以及 API 密钥等敏感信息潜在风险（尽管目前仅为假设）。

关于受影响范围，两家公司表示已联系相关客户，但未透露具体数量。OpenAI 设立专用邮箱 [email protected] 处理客户咨询，Mixpanel 则提供 [email protected] 作为联系渠道。

鉴于历史数据泄露事件经验，企业往往无法完全掌握泄露规模。因此，未收到通知的 OpenAI 客户也应采取与受影响用户相同的安全审查措施：

• 警惕针对泄露邮箱的钓鱼攻击
• 验证来自 OpenAI 域名的邮件真实性
• 启用多因素认证（MFA）

在 API 连接场景下，钓鱼攻击可能呈现更专业的形态，包括账单通知、配额提醒和可疑登录警报等定制化骗局。虽然 OpenAI 表示无需重置账户凭证或 API 密钥，但谨慎的开发人员仍建议进行密钥轮换以彻底消除风险。

包括 Ox Security 和 Dev Community 在内的多家 API 与 AI 安全机构已就此次事件发布详细应对建议。

下游攻击面分析

OpenAI 使用 Mixpanel 等外部分析平台追踪客户通过 API 与模型的交互情况，包括所选模型类型及地理位置、邮箱 ID 等基础元数据，但不涉及浏览器发送至模型的加密聊天查询与响应内容。

此次事件表明，主平台安全仅是风险防控的一环——次级平台和合作伙伴可能成为精心防护企业的后门漏洞，Salesforce 客户就曾因合作伙伴 Salesloft 的数据泄露而遭受损失。

AI 平台暴露的攻击面比表面更广，企业在全面接入前应充分评估其安全与治理挑战。

参考来源：

OpenAI admits data breach after analytics partner hit by phishing attack

本文为 独立观点，未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）