Если ваш утренний кофе дрогнул — не пугайтесь: это не сервера OpenAI шатнулись, а цепочка поставок дала крен. Подрядчик по аналитике Mixpanel получил удар смишингом, и часть пользователей ChatGPT API оказались на свету — но только краешком профиля, без секретов и магии.
OpenAI подчёркивает: взлома их систем не было. Не утекли чаты, запросы к API, usage-метрики, пароли, ключи, платежные данные или документы. Речь о «тонком слое телеметрии» с фронтенда API‑продукта, который Mixpanel помогал собирать. По данным компании, потенциально могли засветиться:
- имя и email, указанные в API‑аккаунте;
- примерная геолокация по браузеру (город/штат/страна);
- ОС и браузер;
- рефереры;
- внутренние Organization/User ID.
Пароли и ключи менять не требуется, но расслабляться рано. Такой набор полей — идеальная закваска для адресного фишинга. OpenAI уже отключила Mixpanel в продакшене, начала расследование и разослала уведомления организациям, администраторам и индивидуальным пользователям. Формально затронуты только API‑клиенты, но информирование получили все подписчики — чтобы никто не прошёл мимо предостережений.
Что случилось у вендора? Mixpanel описывает атаку как смишинг, обнаруженный 8 ноября. После расследования они сообщили OpenAI детали 25 ноября. В ответ Mixpanel перевыпустил учётки, отозвал активные сессии, заблокировал IP злоумышленников, сбросил пароли сотрудников и добавил новые контролы. На периферии инцидента пользователи также упоминают CoinTracker — там речь идёт о метаданных устройств и ограничённых счетчиках транзакций.
Советы на сейчас — простые и рабочие: включите 2FA, проверяйте домены отправителей, не передавайте пароли, API‑ключи и коды по почте, SMS или в чатах. Любые ссылки из «официальных» писем — только после верификации домена openai.com.
Вывод скучен, но железобетонен: самая крепкая крепость бессмысленна, если калитка у подрядчика не на замке. Минимизируйте собираемую телеметрию, пересматривайте доступы, проводите учения против смишинга — и держите цепочку поставок короткой и хорошо освещённой.