Mengingat kegagalan rantai pasokan yang signifikan, OpenAI telah memutuskan hubungan dengan penyedia analisis Mixpanel setelah pelanggaran keamanan mengungkap metadata pelanggan. Peretas memperoleh akses tidak sah ke log sensitif setelah menargetkan karyawan Mixpanel dengan serangan smishing (SMS phishing).
Meskipun OpenAI mengonfirmasi bahwa tidak ada model AI atau kunci autentikasi yang dicuri, kumpulan data yang terekspos mencakup nama, email, dan informasi lokasi untuk pelanggan Antarmuka Pemrograman Aplikasi (API).
Platform mata uang kripto CoinTracker dan CoinLedger juga terkena dampaknya, yang menandakan kampanye yang ditargetkan terhadap teknologi vendor klien.
Anatomi Serangan yang Menghancurkan
Dipicu oleh kampanye yang ditargetkan, kegagalan keamanan dimulai ketika serangan kecil berhasil membahayakan kredensial karyawan Mixpanel. Pembaruan keamanan Mixpanel mengonfirmasi bahwa pusat operasi keamanan perusahaan mengidentifikasi ancaman tersebut pada tanggal 8 November 2025.
Meskipun ada deteksi ini, penyerang berhasil beralih ke lingkungan internal. Akses tidak sah ke sistem tertentu yang berisi data pelanggan terjadi pada tanggal 9 November, sehingga memungkinkan pelaku ancaman mengekspor log sensitif. Jen Taylor, CEO Mixpanel, menjelaskan urutan respons awal.
Setelah penahanan akun yang disusupi, perusahaan analisis tersebut memulai operasi pembersihan menyeluruh untuk mengamankan perimeternya.
Hal ini mencakup pencabutan sesi aktif dan memaksa penyegaran kredensial di seluruh organisasi untuk memastikan tidak ada pintu belakang yang terus-menerus tersisa. Menurut laporan insiden perusahaan, langkah-langkah ini dirancang untuk sepenuhnya memutus akses penyerang.
Terjadi penundaan kritis antara pelanggaran awal dan pemberitahuan klien yang terkena dampak.
Sementara eksfiltrasi terjadi pada tanggal 9 November, Mixpanel tidak memberi tahu OpenAI tentang konten set data spesifik hingga tanggal 25 November, sehingga menyisakan jangka waktu 16 hari di mana data yang terekspos berpotensi berada di alam bebas sebelum pelanggan dapat diperingatkan.
Paparan Metadata: Risiko Tersembunyi
Menekankan pengendalian ancaman, Pengungkapan OpenAI sendiri memperjelas perbedaan antara kompromi sisi vendor dan keamanan infrastrukturnya sendiri.
“Ini bukan pelanggaran sistem OpenAI. Tidak ada chat, permintaan API, API data penggunaan, sandi, kredensial, kunci API, detail pembayaran, atau ID pemerintah telah disusupi atau diekspos.”
Namun, pencurian metadata bisa sama berbahayanya dengan hilangnya kredensial, karena pencurian metadata memberikan cetak biru rekayasa sosial dengan tingkat ketelitian tinggi.
Dengan menggabungkan nama, alamat email, dan pola penggunaan, penyerang dapat membuat email spear-phishing yang sangat meyakinkan dan melewati filter spam standar. Log yang diambil dari instance yang disusupi mengungkapkan profil rinci basis pengguna, yang mungkin telah disertakan dalam data yang diekspor dari Mixpanel:
“Nama yang diberikan kepada kami di akun API Alamat email yang terkait dengan akun API Perkiraan lokasi kasar berdasarkan browser pengguna API (kota, negara bagian, negara) Sistem operasi dan browser yang digunakan untuk mengakses akun API Situs web perujuk Organisasi atau ID Pengguna yang terkait dengan akun API”
Yang memperparah tingkat pelanggaran adalah penyertaan ID Organisasi dan perujuk situs web. Bidang-bidang ini memungkinkan pelaku ancaman untuk memetakan struktur perusahaan klien perusahaan OpenAI, sehingga berpotensi memfasilitasi serangan kompromi email bisnis (BEC) di masa depan.
Kerusakan Rantai Pasokan dan Kerusakan Tambahan
Respon terhadap pelanggaran ini bersifat langsung dan bersifat menghukum. Dalam sebuah langkah yang menunjukkan semakin besarnya intoleransi terhadap risiko yang disebabkan oleh vendor, OpenAI secara permanen mengakhiri hubungan bisnisnya dengan penyedia analisis tersebut.
Bukti forensik menunjukkan bahwa intrusi tersebut adalah bagian dari kampanye yang lebih luas yang menargetkan klien cryptocurrency dan teknologi Mixpanel.
Laporan tentang platform kripto yang terkena dampak menunjukkan bahwa pelacak portofolio CoinTracker dan CoinLedger juga mengalami paparan data, dengan penyerang berpotensi mencari ringkasan transaksi atau asosiasi dompet.
Hanya saja mengetahui bahwa CoinLedger juga menggunakan Mixpanel dan mereka juga terpengaruh oleh kebocoran data.
Mereka juga memberikan Nama Depan dan Belakang Anda jika Anda menyetelnya di profil mereka (yang mungkin Anda lakukan, karena Anda memerlukannya untuk laporan pajak).
Phishing yang ditargetkan akan meningkat. https://t.co/WLWsnriiJw pic.twitter.com/CzgkqEWgQu
— WiiMee (@wiimee) 27 November 2025
Mengenai cakupan insiden, CEO Mixpanel Jen Taylor berusaha meyakinkan basis pelanggan yang lebih luas tentang tindakan penahanan tersebut.
“Jika Anda belum mendengar kabar dari kami secara langsung, Anda tidak terkena dampaknya.”
Insiden ini menyoroti rapuhnya rantai pasokan perangkat lunak modern, di mana kompromi vendor tunggal dapat menyebar ke berbagai platform utama. Bagi para pemimpin IT perusahaan, pelanggaran ini berfungsi sebagai pengingat betapa integrasi pihak ketiga sering kali merupakan titik terlemah dalam postur keamanan organisasi.
