背景图片取自／Mimicry Hu on Unsplash

数据分析公司Mixpanel本月遭到黑客入侵，导致部分OpenAI API用户的账户信息外泄。OpenAI已从系统中移除Mixpanel，并终止使用该服务，同时开始通知受影响的用户。

Mixpanel主要开发产品分析平台，协助企业追踪用户在网站、App及API等各接口的行为，可分析留存率、转化率、功能使用情况及使用路径等，在全球拥有近3万家客户。OpenAI曾使用Mixpanel作为第三方网页分析服务商，以帮助理解并优化OpenAI API产品。OpenAI API可用于访问多种AI模型，包括文本生成、自然语言处理和计算机视觉等。

Mixpanel于周四（11月27日）表示，该公司于11月8日发现一起钓鱼短信攻击，并迅速启动应急响应流程，包括保护受影响账户、撤销所有活跃会话及登录记录、轮换被盗的Mixpanel凭证、封禁恶意IP地址、在自家SIEM平台上记录IOCs、重置所有Mixpanel员工的全局密码、聘请第三方安全公司对受影响账户的身份、会话及导出日志进行取证，并实施了额外的安全控制措施，同时已联系所有受影响客户。

Mixpanel未公布受此次事件波及的客户名单，但OpenAI同日发布声明指出，黑客访问了Mixpanel的部分系统，并导出了一份包含有限客户身份信息及分析数据的数据集，OpenAI API用户的资料可能出现在该数据集中，若存在，仅限于该API账户的名称、电子邮件地址、根据用户浏览器提供的大致地理位置、用于访问该账户的操作系统及浏览器信息、推荐网站，以及与该API账户相关的组织或用户ID。

OpenAI强调，此次事件发生在Mixpanel的系统内部，涉及部分API用户的分析数据，ChatGPT及其他产品用户未受影响。

此外，OpenAI提醒，外泄的数据可能被用于针对受害者或其组织发起钓鱼或社会工程攻击。此次事件也促使OpenAI对整个供应商生态系统展开更广泛的安全审查，提升所有合作伙伴与供应商的安全要求。