Bij OpenAI is recent een beveiligingsincident gemeld dat plaatsvond bij een externe partij genaamd Mixpanel. Mixpanel verzorgde webstatistieken voor het API platform van OpenAI. Het incident vond dus niet plaats binnen OpenAI zelf, maar in de systemen van Mixpanel. Daarbij is een beperkte set gegevens van API gebruikers ingezien en geëxporteerd.
Wat is er precies gebeurd
Op 9 november 2025 ontdekte Mixpanel dat een aanvaller toegang had gekregen tot een deel van hun systemen. De aanvaller heeft toen een dataset geëxporteerd met beperkte klantinformatie zoals naam, e-mailadres, globale locatie en technische gegevens over het gebruikte apparaat en de browser. Op 25 november heeft Mixpanel deze dataset gedeeld met OpenAI zodat het onderzocht kon worden.
Welke gegevens kunnen geraakt zijn
Het gaat om beperkte informatie zoals:
- Naam die bij het API account is opgegeven
- E-mailadres dat aan het account is gekoppeld
- Stad, staat en land op basis van de gebruikte browser
- Besturingssysteem en browser
- Eventuele doorverwijzende websites
- Organisatie of gebruikers ID’s
Er zijn geen wachtwoorden, API sleutels, betaalgegevens, chats of inhoud van API verzoeken buitgemaakt.
Reactie vanuit OpenAI
OpenAI heeft Mixpanel direct verwijderd uit de productieomgeving en het incident onderzocht. Ze werken samen met Mixpanel en andere partners om precies te begrijpen wat er is gebeurd en houden alle systemen in de gaten. Tot nu toe is er geen bewijs dat systemen buiten Mixpanel zijn getroffen. OpenAI heeft inmiddels besloten om niet langer met Mixpanel te werken.
Daarnaast voert OpenAI extra veiligheidscontroles uit bij al hun leveranciers en scherpen ze hun eisen voor externe partijen verder aan.
Wat jij in gedachten moet houden
De gegevens die mogelijk zijn ingezien kunnen gebruikt worden voor phishing of andere vormen van misleiding. Het is goed om hier alert op te zijn. Let vooral op:
- Onverwachte mails met links of bijlagen
- Berichten die lijken op officiële communicatie maar van een vreemd domein komen
- Verzoeken om wachtwoorden of API sleutels, want die vraagt OpenAI nooit per mail of chat
Zet waar mogelijk multi factor authenticatie aan voor extra bescherming.
Wat dit betekent voor klanten van MADA Tech
Gebruik je bij MADA Tech tools waarin je koppelingen maakt met OpenAI, dan is het goed om te weten dat je API sleutels en vertrouwelijke gegevens niet geraakt zijn. De informatie die is ingezien was beperkt en stond los van inhoudelijke data. We blijven ontwikkelingen volgen en passen onze adviezen aan wanneer nodig.
Heb je vragen over het incident of wil je dat we meekijken naar je beveiligingsinstellingen dan helpen we je graag.
