Bezpečností incident u OpenAI: Pokud využíváte API, zpozorněte

Společnost OpenAI nedávno oznámila bezpečnostní incident u externího dodavatele – firmy Mixpanel, která poskytovala webovou analytiku pro frontend rozhraní jejich API platformy. Ačkoliv nedošlo k ohrožení samotných systémů OpenAI, incident znovu otevírá zásadní otázku bezpečnosti dat u třetích stran.

Co se stalo?

Dne 9. listopadu 2025 zaznamenal Mixpanel neoprávněný přístup do části svých systémů, který útočník využil k exportu dat obsahujících omezené analytické informace a některé identifikátory zákazníků. O incidentu informoval OpenAI 25. listopadu, kdy také předal detailní dataset obsahující kompromitovaná data.

Týkalo se to výhradně uživatelů platformy platform.openai.com, nikoliv ChatuGPT ani dalších produktů OpenAI.

Jaké údaje byly kompromitovány?

Podle informací OpenAI se jedná o následující údaje:

• jméno uvedené u API účtu;
• e-mailová adresa;
• přibližná poloha na základě prohlížeče (město, stát, země);
• použitý operační systém a prohlížeč;
• odkazující weby;
• uživatelské nebo organizační ID účtu.

Nešlo tedy o žádné citlivé údaje jako jsou hesla, API klíče, obsah komunikace přes API, platební údaje či vládní identifikátory.

Reakce OpenAI

OpenAI okamžitě odstranil Mixpanel ze svých produkčních služeb a zahájil vlastní bezpečnostní audit. Současně přistoupil k notifikaci dotčených organizací a jednotlivých administrátorů. V rámci širšího opatření dochází také k přehodnocení a zpřísnění bezpečnostních standardů napříč dodavatelským řetězcem.

Dopady na organizace a doporučení

Ačkoliv nedošlo k úniku vysoce citlivých dat, zveřejněné informace mohou potenciálně sloužit jako základ pro cílené phishingové nebo útoky využívající sociální inženýrství. O to důležitější je nyní zvýšit pozornost a posílit bezpečnostní návyky:

• Dávejte si pozor na nečekané e-maily, zejména ty s odkazy nebo přílohami.
• Ověřujte si autenticitu zpráv údajně pocházejících od OpenAI – musí pocházet z oficiální domény.
• OpenAI nikdy nežádá o hesla, API klíče nebo ověřovací kódy e-mailem či zprávami.
• Aktivujte dvoufaktorové ověření (MFA), ideálně i na úrovni SSO.

Shrnutí

Tento incident je připomínkou, že i při důsledném zabezpečení vlastních systémů mohou organizace čelit riziku skrze své dodavatele. O to důležitější je komplexní správa dodavatelského řetězce, pravidelný bezpečnostní audit třetích stran a udržování vysokých standardů nejen interně, ale i směrem ke všem partnerům.

OpenAI incident transparentně zveřejnil a podnikl kroky k minimalizaci dopadů. Mixpanel byl odstraněn ze systému a bezpečnostní požadavky na dodavatele se zpřísnily.

Zdroj: openai.com

Zdroj ilustračního obrázku: Kevin Horvat on Unsplash