OpenAI-Vorfall bei Mixpanel – Nutzerdaten kompromittiert

OpenAI, bekannt für ChatGPT, hat nun einen Sicherheitsvorfall bei seinem externen Datenanalyse-Dienstleister Mixpanel öffentlich gemacht, der vor allem Nutzer der OpenAI-API betrifft.

Am 9. November 2025 wurde entdeckt, dass ein unbefugter Angreifer über eine sogenannte Smishing-Kampagne (Phishing per SMS) den Zugang zu Teilen der Mixpanel-Systeme erhalten und dabei begrenzte Mengen an Nutzerdaten exportiert hat.

Hintergrund

OpenAI nutzt Mixpanel für Web-Analytics auf der Plattform platform.openai.com, wo API-Nutzer ihre Anwendungen steuern und überwachen.

Wichtig: Die Kernsysteme von OpenAI, Chats, API-Nutzerdaten, Passwörter, API-Schlüssel und Zahlungsinformationen blieben von dem Vorfall vollständig unberührt.

Betroffen sind personenbezogene Informationen, die im Kontext der API-Nutzung erhoben wurden. Dazu gehören unter anderem der Name, die E-Mail-Adresse, Lokalisierungsdaten auf grober Ebene (Stadt, Bundesland, Land), das Betriebssystem und der Browser, mit dem auf die API zugegriffen wurde, verweisende Websites sowie interne IDs von Organisationen oder Nutzern.

Mixpanel

Diese Daten wurden im Zuge der Analyse- und Monitoringprozesse via Mixpanel gesammelt, um die Nutzung und Performance der API zu verbessern, wurden nun aber unrechtmäßig offengelegt.

OpenAI reagierte umgehend nach Bekanntwerden des Vorfalls: Mixpanel wurde sofort aus den Produktivsystemen entfernt, die Zusammenarbeit mit dem Dienstleister komplett eingestellt, und es wird eine erweiterte Sicherheitsüberprüfung aller Partner und Dienstleister durchgeführt.

Mixpanel sorgte für Sicherungsmaßnahmen, darunter das Sperren von Nutzerkonten und die Einbindung externer Cybersecurity-Experten, um den Schaden einzudämmen. OpenAI informiert nach eigener Aussage betroffene Nutzer und Organisationen direkt und betont, dass es bislang keine Hinweise auf Missbrauch der Daten gibt.

Angriffe

Für Nutzer bedeutet dies in erster Linie, dass mit den veröffentlichten Daten gezielte Phishing- oder Social-Engineering-Angriffe möglich sind.

OpenAI empfiehlt deshalb, besonders wachsam bei unerwarteten E-Mails oder Nachrichten zu sein, keine Links oder Anhänge in zweifelhaften Mitteilungen zu öffnen und sicherzustellen, dass Kommunikationen tatsächlich von offiziellen OpenAI-Domains stammen.

Zusätzlich wird geraten, die Zwei-Faktor-Authentifizierung zu aktivieren, um den eigenen Account bestmöglich zu schützen.

Datensicherheit

Dieser Vorfall zeigt, wie wichtig das Thema Datenschutz und Datensicherheit gerade bei der Zusammenarbeit mit Drittanbietern ist – besonders in sensiblen Bereichen wie Künstlicher Intelligenz und APIs.

OpenAI kündigte an, die Sicherheitsvorgaben für alle Partner künftig noch stärker zu erhöhen, um ähnliche Ereignisse in der Zukunft zu verhindern und das Vertrauen der Nutzer langfristig zu sichern.

Für Anwender und Unternehmen ist dies eine wichtige Erinnerung daran, auch eigene Sicherheitsmaßnahmen zu überprüfen und wachsam gegenüber potenziellen Angriffen zu bleiben.

Sierks Media / © Fotos: Levart_Photographer (1), Jonathan Kemper (1), Unsplash