HackerNews 编译,转载请注明出处:
OpenAI 向部分用户发出警告,分析公司 Mixpanel 遭遇网络攻击,可能导致这些用户的数据泄露。
Mixpanel 是一款产品分析平台,企业可通过该平台了解用户与自身应用或网站的交互情况。众多科技公司借助 Mixpanel 收集数据,为功能优化、性能提升及用户旅程设计等决策提供依据。
OpenAI 就 Mixpanel 数据泄露事件向部分用户告知潜在风险。这家分析服务提供商于 11 月 8 日检测到一起钓鱼短信攻击,但试图淡化此次安全事件的严重性,称其仅影响少数客户。
OpenAI 表示,自身系统未遭入侵,ChatGPT 对话记录、提示词、API 数据、密码、密钥及支付信息均保持安全。攻击者实际窃取的是 Mixpanel 中有限的数据集,包含来自 platform.openai.com 的用户档案详情 —— 姓名、邮箱地址、大致地理位置、操作系统 / 浏览器信息、机构或用户 ID,以及引荐网站。OpenAI 提醒,这些数据可能被用于钓鱼攻击和社会工程学诈骗。
OpenAI 声明:“作为安全调查的一部分,我们已在生产环境中移除 Mixpanel 服务,核查了受影响数据集,并正与 Mixpanel 及其他合作伙伴密切合作,以全面了解事件详情及影响范围。我们正在直接通知受影响的机构、管理员及用户。目前尚未发现证据表明 Mixpanel 环境外的系统或数据受到影响,但我们会持续密切监控是否存在滥用风险。”
相应地,OpenAI 已在生产环境中停用 Mixpanel,核查了受影响数据,并在通知相关用户及机构的同时,持续监控数据滥用情况。
Mixpanel 在数据泄露通知中称:“2025 年 11 月 8 日,Mixpanel 检测到一起钓鱼短信攻击,并立即启动了事件响应流程。我们采取了全面措施遏制并清除未授权访问,保障受影响用户账户的安全。同时,我们已联合外部网络安全合作伙伴开展漏洞修复及事件响应工作。”
Mixpanel 采取了多项措施保障系统安全并保护受影响客户:加固遭入侵的账户,撤销所有活跃会话,更换泄露的凭证;封禁攻击相关的恶意 IP 地址,并在安全监控平台中添加攻击特征指标。
为强化内部安全,Mixpanel 要求所有员工重置全球范围内的账户密码,聘请第三方取证团队协助遏制攻击并清理风险;同时对受影响账户的身份验证日志、会话日志及导出日志进行了详细的取证分析。
为防范类似事件再次发生,Mixpanel 已部署新的安全控制措施,旨在未来能检测并拦截此类恶意活动。该公司目前正与执法部门及外部网络安全顾问合作推进相关工作。
已收到 Mixpanel 通知的客户应遵照邮件中的指示操作;未收到任何通知的用户则未受此次事件影响,无需采取进一步措施。
消息来源:securityaffairs;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
