افشای اطلاعات کاربران OpenAI API در پی نفوذ امنیتی Mixpanel

در یک یادآوری مهم درباره ریسک‌های زنجیره تأمین دیجیتال، شرکت OpenAI تأیید کرده است که داده‌های کاربران مرتبط با پلتفرم API آن در معرض افشا قرار گرفته است. این افشا نه به‌دلیل compromise شدن زیرساخت‌های OpenAI، بلکه به‌دلیل یک حادثه امنیتی در Mixpanel رخ داده است؛ ارائه‌دهنده تحلیل داده‌ای که برای ردیابی ترافیک وب در بخش فرانت‌اند API مورد استفاده قرار می‌گیرد.

طبق این افشا، Mixpanel در ۹ نوامبر ۲۰۲۵ متوجه شد که مهاجمی به بخشی از سیستم‌های آن دسترسی غیرمجاز پیدا کرده است. مهاجم توانسته داده‌ای شامل اطلاعات قابل شناسایی مشتریان و داده‌های تحلیلی را استخراج کند.

OpenAI از جریان تحقیقات باخبر شده بود و در ۲۵ نوامبر ۲۰۲۵، مجموعه داده‌ای که سرقت شده بود را برای بررسی اثرات احتمالی دریافت کرد.

OpenAI بلافاصله حدود این حادثه را مشخص کرد و گفت:
«این یک نقض امنیتی در سیستم‌های OpenAI نبود. هیچ چت، درخواست API، داده‌های مصرف API، رمز عبور، اعتبارنامه، کلید API، اطلاعات پرداخت یا مدارک هویتی دولتی compromise یا افشا نشده‌اند.»

این شرکت تأیید کرد که حادثه تنها کاربران محصول API (در platform.openai.com) را تحت‌تأثیر قرار داده و «کاربران ChatGPT و دیگر محصولات تحت تأثیر نبودند.»

هرچند داده‌های بسیار حساس مانند وزن مدل‌ها، تاریخچه چت‌ها یا اطلاعات پرداخت محفوظ مانده‌اند، داده‌های افشاشده سوخت کافی برای کمپین‌های حملات هدفمند فراهم می‌کنند. مجموعه داده لو رفته شامل متادیتا و اطلاعات پروفایلی زیر بوده است:

• نام و ایمیل‌های مرتبط با حساب‌های API
• مکان تقریبی (شهر، ایالت، کشور)
• اطلاعات سیستم‌عامل و مرورگر
• وب‌سایت‌های ارجاع‌دهنده
• شناسه‌های سازمان و کاربر

در اطلاعیه آمده است: «اطلاعات پروفایل کاربران مرتبط با استفاده از platform.openai.com ممکن است در داده‌های استخراج‌شده از Mixpanel وجود داشته باشد.»

OpenAI پس از بررسی حادثه و وضعیت امنیتی این شرکت، تصمیم فوری گرفت و همکاری خود با Mixpanel را خاتمه داد.

در گزارش آمده: «اعتماد، امنیت و حریم خصوصی، اساس محصولات و سازمان ما هستند. پس از بررسی این حادثه، OpenAI استفاده از Mixpanel را متوقف کرده است.»

علاوه بر قطع همکاری، OpenAI بازبینی‌های امنیتی گسترده‌تری را در کل اکوسیستم تامین‌کنندگان خود آغاز کرده تا الزامات امنیتی را ارتقا دهد و از بروز اتفاقات مشابه جلوگیری کند.

کارشناسان امنیت هشدار می‌دهند که هرچند هیچ credential مستقیمی به سرقت نرفته، داده‌های افشاشده بی‌خطر نیستند. ترکیب نام، ایمیل و این واقعیت که کاربر یک توسعه‌دهنده API است، شرایطی ایده‌آل برای حملات spear-phishing ایجاد می‌کند.

در گزارش صراحتاً به کاربران هشدار داده شده:
«اطلاعاتی که ممکن است تحت تأثیر قرار گرفته باشند، می‌توانند در حملات phishing یا مهندسی اجتماعی علیه شما یا سازمانتان مورد سوءاستفاده قرار گیرند.»

مهاجمان می‌توانند از User ID یا Organization ID افشاشده استفاده کرده و ایمیل‌های پشتیبانی جعلی اما بسیار معتبر بسازند تا توسعه‌دهندگان را فریب داده و کلیدهای API یا رمزهای عبور را که در حمله اولیه محفوظ مانده بودند، به دست آورند.

OpenAI در حال اطلاع‌رسانی مستقیم به تمام سازمان‌ها و ادمین‌های آسیب‌دیده است. به کاربران توصیه شده نسبت به هرگونه پیام مشکوکی که ادعا می‌کند از طرف OpenAI ارسال شده، به‌ویژه پیام‌هایی که درخواست credential دارند یا شامل درخواست‌های فوری هستند، نهایت احتیاط را داشته باشند.

به‌عنوان یک توصیه امنیتی استاندارد، کاربران باید مطمئن شوند که احراز هویت چندمرحله‌ای (MFA) روی حساب آن‌ها فعال است. هرچند رمزهای عبور لو نرفته‌اند، MFA یک لایه دفاعی مهم در برابر موج حملات مهندسی اجتماعی است که احتمالاً پس از این افشا رخ خواهد داد.