Ringkasan insiden keamanan Mixpanel yang memengaruhi data analitik terbatas pengguna OpenAI API, serta respons dan langkah pengamanan yang perlu dilakukan pengguna.
OpenAI menginformasikan insiden keamanan yang baru-baru ini menimpa Mixpanel, penyedia layanan analitik data pihak ketiga yang digunakan untuk menganalisis aktivitas web pada antarmuka frontend produk API di platform.openai.com.
Insiden ini terjadi sepenuhnya di dalam sistem Mixpanel dan bukan merupakan kerentanan terhadap sistem internal atau infrastruktur OpenAI. Pada tanggal 9 November 2025, Mixpanel mendeteksi adanya penyerang yang memperoleh akses tanpa izin ke sebagian sistem mereka dan mengekspor dataset berisi informasi identitas pelanggan dalam cakupan terbatas dan data analitik. Mixpanel memberi tahu OpenAI bahwa mereka sedang melakukan investigasi, dan pada 25 November 2025 Mixpanel membagikan dataset yang terpengaruh kepada OpenAI untuk proses peninjauan lebih lanjut.
OpenAI mengatakan bahwa insiden ini hanya melibatkan data analitik terbatas di lingkungan Mixpanel. Pengguna ChatGPT dan produk OpenAI lainnya tidak terdampak. OpenAI juga menekankan bahwa tidak ada chat, permintaan API, data penggunaan API, password, kredensial, API key, detail pembayaran, atau ID resmi pemerintah yang terekspos atau terkompromi.
Data yang mungkin berpotensi terekspos adalah informasi profil dan analitik terbatas yang terkait dengan penggunaan platform.openai.com dan dikumpulkan melalui layanan analitik Mixpanel. Data yang termasuk dalam kategori ini meliputi:
- Nama yang diberikan pada akun API.
- Alamat surel atau email yang terkait dengan akun API.
- Perkiraan lokasi umum berdasarkan browser pengguna API, seperti kota, negara bagian, dan negara.
- Sistem operasi dan peramban atau browser yang digunakan untuk mengakses akun API.
- Situs web rujukan atau referring websites.
- ID Organisasi atau ID Pengguna yang terkait dengan akun API.
Sampai saat ini, OpenAI menyatakan bahwa mereka tidak menemukan bukti adanya dampak terhadap sistem atau data di luar lingkungan Mixpanel. Meski demikian, OpenAI tetap memantau dengan ketat untuk mendeteksi potensi penyalahgunaan data yang mungkin terjadi.
Sebagai respons, OpenAI segera menghapus Mixpanel dari layanan produksi, meninjau dataset yang terdampak, serta bekerja sama dengan Mixpanel dan mitra terkait untuk memahami insiden ini secara menyeluruh. Setelah evaluasi selesai, OpenAI memutuskan untuk mengakhiri penggunaan layanan Mixpanel.
OpenAI saat ini sedang mengirimkan notifikasi kepada organisasi, administrator, dan pengguna yang teridentifikasi terdampak. Selain itu, OpenAI melakukan peninjauan keamanan tambahan dan meningkatkan persyaratan keamanan bagi seluruh vendor dan mitra mereka.
Karena data yang terekspos mencakup nama, alamat email, dan metadata API seperti user ID, OpenAI mendorong seluruh pengguna untuk tetap waspada terhadap upaya phishing atau rekayasa sosial. Untuk meminimalkan risiko, empat langkah kewaspadaan berikut sangat dianjurkan:
- Perlakukan surel atau pesan yang tidak terduga dengan hati-hati, terutama jika berisi tautan atau lampiran.
- Periksa kembali bahwa setiap pesan yang mengklaim berasal dari OpenAI benar-benar dikirim dari domain resmi OpenAI.
- OpenAI tidak pernah meminta kata sandi, API key, atau kode verifikasi melalui surel, pesan teks, atau chat.
- Lindungi akun Anda lebih lanjut dengan mengaktifkan autentikasi multi-faktor.
