Unter Berufung auf einen erheblichen Ausfall der Lieferkette hat OpenAI die Zusammenarbeit mit dem Analyseanbieter Mixpanel abgebrochen, nachdem bei einer Sicherheitsverletzung Kundenmetadaten offengelegt wurden. Hacker verschafften sich unbefugten Zugriff auf vertrauliche Protokolle, nachdem sie einen Mixpanel-Mitarbeiter mit einem Smishing-Angriff (SMS-Phishing) angegriffen hatten.
Während OpenAI bestätigte, dass keine KI-Modelle oder Authentifizierungsschlüssel gestohlen wurden, enthält der offengelegte Datensatz Namen, E-Mails und Standortinformationen von API-Kunden (Application Programming Interface).
Die Kryptowährungsplattformen CoinTracker und CoinLedger waren ebenfalls betroffen, was auf eine gezielte Kampagne gegen die Technologie des Anbieters hindeutet Klientel.
Anatomie eines Smishing-Angriffs
Ausgelöst durch eine gezielte Kampagne begann der Sicherheitsfehler, als Smishing-Angriffe haben die Anmeldedaten eines Mixpanel-Mitarbeiters erfolgreich kompromittiert. Das Sicherheitsupdate von Mixpanel bestätigt, dass das Security Operations Center des Unternehmens die Bedrohung am 8. November 2025 identifiziert hat.
Trotz dieser Entdeckung gelang es den Angreifern, in die interne Umgebung einzudringen. Am 9. November kam es zu unbefugtem Zugriff auf bestimmte Systeme mit Kundendaten, wodurch die Bedrohungsakteure vertrauliche Protokolle exportieren konnten. Jen Taylor, CEO von Mixpanel, erläuterte die erste Reaktionssequenz.
Nach der Eindämmung des kompromittierten Kontos leitete das Analyseunternehmen eine umfassende Säuberungsaktion ein, um seinen Perimeter zu sichern.
Dazu gehörte das Widerrufen aktiver Sitzungen und das Erzwingen einer Aktualisierung der Anmeldeinformationen im gesamten Unternehmen, um sicherzustellen, dass keine dauerhaften Hintertüren zurückbleiben. Laut dem Vorfallbericht des Unternehmens sollten diese Maßnahmen den Zugriff des Angreifers vollständig sperren.
Zwischen dem ersten Verstoß und der Benachrichtigung der betroffenen Kunden kam es zu einer kritischen Verzögerung.
Während die Exfiltration am 9. November stattfand, informierte Mixpanel OpenAI erst am 25. November über den spezifischen Inhalt des Datensatzes, sodass ein Zeitfenster von 16 Tagen verblieb, in dem die offengelegten Daten möglicherweise im Umlauf waren, bevor Kunden gewarnt werden konnten.
Metadaten-Offenlegung: Die versteckten Risiken
Die Eindämmung der Bedrohung wird durch OpenAIs eigene Offenlegung hervorgehoben, die den Unterschied zwischen der anbieterseitigen Kompromittierung und der eigenen Infrastruktursicherheit verdeutlicht.
„Dies war kein Verstoß gegen die Systeme von OpenAI. Kein Chat, keine API-Anfragen, API-Nutzungsdaten, Passwörter, Zugangsdaten, API-Schlüssel, Zahlungsdetails oder Regierungsausweise wurden kompromittiert oder offengelegt. Von der kompromittierten Instanz abgerufene Protokolle offenbaren ein detailliertes Profil der Benutzerbasis, das möglicherweise in den aus Mixpanel exportierten Daten enthalten war:
„Name, der uns auf dem API-Konto zur Verfügung gestellt wurde E-Mail-Adresse, die mit dem API-Konto verknüpft ist. Ungefährer grober Standort basierend auf dem Browser des API-Benutzers (Stadt, Bundesland, Land). Betriebssystem und Browser, mit dem auf das API-Konto zugegriffen wurde. Verweisende Websites. Organisations-oder Benutzer-IDs, die mit dem API-Konto verknüpft sind.“
Die Schwere des Verstoßes wird durch die Einbeziehung von Organisations-IDs und Verweisen noch verstärkt Websites. Diese Felder ermöglichen es Bedrohungsakteuren, die Unternehmensstruktur der Unternehmenskunden von OpenAI abzubilden, was möglicherweise zukünftige BEC-Angriffe (Business Email Compromise) erleichtert.
Ausfälle in der Lieferkette und Kollateralschäden
Die Reaktion auf den Verstoß erfolgte sofort und strafend. In einem Schritt, der die wachsende Intoleranz gegenüber vom Anbieter verursachten Risiken zeigt, beendete OpenAI endgültig seine Geschäftsbeziehung mit dem Analyseanbieter.
Forensische Beweise deuten darauf hin, dass der Eingriff Teil einer umfassenderen Kampagne war, die auf die Kryptowährungs-und Technologieklientel von Mixpanel abzielte.
Berichte über betroffene Kryptoplattformen deuten darauf hin, dass auch die Portfolio-Tracker CoinTracker und CoinLedger Daten offengelegt haben, wobei Angreifer möglicherweise nach Transaktionszusammenfassungen oder Wallet-Zuordnungen suchen.
Ich habe gerade herausgefunden, dass CoinLedger auch Mixpanel verwendet und sie ebenfalls von dem Datenleck betroffen sind.
Sie haben zusätzlich Ihren Vor-und Nachnamen preisgegeben, wenn Sie ihn in ihrem Profil festgelegt haben (was Sie wahrscheinlich getan haben, weil Sie ihn für eine Steuererklärung benötigen würden).
Gezieltes Phishing wird zunehmen. https://t.co/WLWsnriiJw pic.twitter.com/CzgkqEWgQu
– WiiMee (@wiimee) 27. November 2025
Bezüglich des Ausmaßes des Vorfalls versuchte Mixpanel-CEO Jen Taylor, die breitere Kundenbasis über die Eindämmung zu beruhigen Maßnahmen.
„Wenn Sie nicht direkt von uns gehört haben, waren Sie nicht betroffen.“
Dieser Vorfall verdeutlicht die Fragilität der modernen Software-Lieferkette, in der sich eine Kompromittierung eines einzelnen Anbieters auf mehrere große Plattformen auswirken kann. Für IT-Führungskräfte in Unternehmen dient der Verstoß als Erinnerung daran, dass Integrationen von Drittanbietern oft das schwächste Glied in der Sicherheitslage eines Unternehmens darstellen.
