OpenAI Ungkap Kebocoran Data Pelanggan API Akibat Peretasan Vendor Mixpanel

OpenAI mengonfirmasi bahwa sebagian data identitas ringan milik pelanggan ChatGPT API terekspos akibat insiden keamanan yang menimpa Mixpanel, penyedia analitik pihak ketiga yang digunakan perusahaan. Kebocoran ini tidak memengaruhi pengguna ChatGPT reguler maupun produk OpenAI lainnya.

Mixpanel menyediakan layanan analitik interaksi frontend untuk produk API OpenAI. Menurut keterangan resmi, insiden tersebut hanya berdampak pada “data analitik terbatas dari sebagian pengguna API” dan bukan merupakan pelanggaran terhadap sistem OpenAI.

OpenAI menegaskan bahwa tidak ada percakapan, permintaan API, data pemakaian API, kata sandi, kredensial, API key, informasi pembayaran, ataupun identitas resmi yang bocor.

Serangan Smishing Jadi Pemicu

Mixpanel menyebut bahwa insiden ini berasal dari serangan smishing (phishing via SMS) yang terdeteksi pada 8 November dan berdampak pada sebagian kecil pelanggan mereka. OpenAI baru menerima detail dataset yang terkena dampak pada 25 November, seiring berlangsungnya investigasi Mixpanel.

Informasi yang mungkin terekspos mencakup:

• Nama yang terdaftar pada akun API
• Alamat email terkait akun
• Perkiraan lokasi (kota, negara bagian, negara) berdasarkan browser
• Sistem operasi dan browser yang digunakan
• Situs perujuk (referring website)
• ID organisasi atau pengguna terkait akun API

Karena tidak ada kredensial sensitif yang bocor, pengguna tidak perlu mengganti kata sandi atau merotasi API key mereka.

Dampak ke Layanan Lain

Beberapa pengguna melaporkan bahwa CoinTracker, platform pelacak portofolio kripto, juga terkena imbas insiden Mixpanel, dengan potensi tereksposnya metadata perangkat dan jumlah transaksi terbatas.

Langkah OpenAI dan Imbauan Keamanan

OpenAI telah memulai investigasi internal untuk memastikan cakupan insiden dan—sebagai langkah pencegahan—menghapus Mixpanel dari layanan produksinya. Perusahaan juga mulai memberi notifikasi kepada organisasi dan individu yang terdampak.

Walaupun hanya pengguna API yang terdampak, OpenAI memilih menginformasikan seluruh pelanggan untuk kewaspadaan.

Perusahaan memperingatkan bahwa data yang bocor dapat digunakan dalam phishing atau rekayasa sosial, dan meminta pengguna berhati-hati terhadap pesan yang tampak kredibel namun mencurigakan.

OpenAI menyarankan pengguna untuk:

• Memverifikasi setiap tautan atau lampiran, pastikan berasal dari domain resmi
• Mengaktifkan 2FA
• Tidak pernah mengirimkan informasi sensitif seperti kata sandi, API key, atau kode verifikasi melalui email, SMS, atau chat

CEO Mixpanel, Jen Taylor, memastikan bahwa semua pelanggan yang terdampak sudah dihubungi langsung. “Jika Anda tidak menerima pemberitahuan dari kami, berarti Anda tidak terdampak,” ujarnya.

Sebagai respons, Mixpanel telah mengamankan akun yang terkena dampak, mencabut sesi aktif, merotasi kredensial, memblokir IP penyerang, serta me-reset kata sandi seluruh karyawan. Mereka juga menerapkan kontrol baru untuk mencegah insiden serupa.

Sumber: OpenAI, Mixpanel