Citando un grave fallimento della catena di fornitura, OpenAI ha reciso i legami con il fornitore di analisi Mixpanel dopo che una violazione della sicurezza ha esposto i metadati dei clienti. Gli hacker hanno ottenuto l’accesso non autorizzato a registri sensibili dopo aver preso di mira un dipendente Mixpanel con un attacco smishing (phishing via SMS).
Sebbene OpenAI abbia confermato che nessun modello di intelligenza artificiale o chiave di autenticazione è stato rubato, il set di dati esposto include nomi, email e informazioni sulla posizione per i clienti API (Application Programming Interface).
Anche le piattaforme di criptovaluta CoinTracker e CoinLedger sono state colpite, segnalando una campagna mirata contro la tecnologia del fornitore. clientela.
Anatomia di un attacco Smishing
Innescato da una campagna mirata, il fallimento della sicurezza è iniziato quando attacchi smishing hanno compromesso con successo le credenziali di un dipendente Mixpanel. L’aggiornamento di sicurezza di Mixpanel conferma che il centro operativo di sicurezza dell’azienda ha identificato la minaccia l’8 novembre 2025.
Nonostante questo rilevamento, gli aggressori sono riusciti a penetrare nell’ambiente interno. Il 9 novembre si è verificato un accesso non autorizzato ai sistemi specifici contenenti i dati dei clienti, consentendo agli autori delle minacce di esportare registri sensibili. Jen Taylor, CEO di Mixpanel, ha spiegato la sequenza di risposta iniziale.
Dopo il contenimento dell’account compromesso, la società di analisi ha avviato un’operazione di pulizia completa per proteggerne il perimetro.
Ciò ha comportato la revoca delle sessioni attive e l’imposizione di un aggiornamento delle credenziali nell’intera organizzazione per garantire che non rimanessero backdoor persistenti. Secondo il rapporto sull’incidente dell’azienda, queste misure sono state progettate per interrompere completamente l’accesso dell’aggressore.
Si è verificato un ritardo critico tra la violazione iniziale e la notifica dei clienti interessati.
Mentre l’esfiltrazione è avvenuta il 9 novembre, Mixpanel non ha informato OpenAI dei contenuti specifici del set di dati fino al 25 novembre, lasciando una finestra di 16 giorni in cui i dati esposti erano potenzialmente in circolazione prima che i clienti potessero essere avvisati.
Esposizione dei metadati: i rischi nascosti
Sottolineando il contenimento della minaccia, la divulgazione di OpenAI chiarisce la distinzione tra la compromissione dal lato del fornitore e la sicurezza della propria infrastruttura.
“Questa non è stata una violazione dei sistemi di OpenAI. Nessuna chat, richieste API, API dati di utilizzo, password, credenziali, chiavi API, dettagli di pagamento o ID governativi sono stati compromessi o esposti.”
Tuttavia, il furto di metadati può essere altrettanto dannoso quanto la perdita di credenziali, poiché fornisce un modello per l’ingegneria sociale ad alta fedeltà.
Combinando nomi, indirizzi email e modelli di utilizzo, gli aggressori possono creare email di spear-phishing altamente convincenti che aggirano i filtri antispam standard. I registri recuperati dall’istanza compromessa rivelano un profilo dettagliato della base utenti, che potrebbe essere stato incluso nei dati esportati da Mixpanel:
“Nome che ci è stato fornito sull’account API Indirizzo email associato all’account API Posizione approssimativa approssimativa basata sul browser utente API (città, stato, paese) Sistema operativo e browser utilizzati per accedere all’account API Siti Web di riferimento ID organizzazione o utente associati all’account API”
Aggravare la gravità della violazione è l’inclusione di ID organizzazione e riferimenti siti web. Questi campi consentono agli autori delle minacce di mappare la struttura aziendale dei clienti aziendali di OpenAI, facilitando potenzialmente futuri attacchi BEC (Business Email Compromise).
Danni collaterali e ricadute sulla supply chain
La risposta alla violazione è stata immediata e punitiva. Con una mossa che mostra la crescente intolleranza per i rischi indotti dai fornitori, OpenAI ha interrotto definitivamente il suo rapporto commerciale con il fornitore di analisi.
Prove forensi suggeriscono che l’intrusione faceva parte di una campagna più ampia rivolta alla clientela tecnologica e di criptovaluta di Mixpanel.
I rapporti sulle piattaforme crittografiche interessate indicano che anche i tracker di portafoglio CoinTracker e CoinLedger hanno subito esposizione ai dati, con gli aggressori potenzialmente alla ricerca di riepiloghi delle transazioni o associazioni di portafogli.
Ho appena scoperto che CoinLedger utilizzava Mixpanel e anche loro sono stati colpiti dalla fuga di dati.
Hanno fornito anche il tuo nome e cognome se li hai impostati nel loro profilo (cosa che probabilmente hai fatto, perché ne avresti bisogno per un rapporto fiscale).
Il phishing mirato aumenterà. https://t.co/WLWsnriiJw pic.twitter.com/CzgkqEWgQu
— WiiMee (@wiimee) 27 novembre 2025
Per quanto riguarda la portata dell’incidente, il CEO di Mixpanel Jen Taylor ha cercato di rassicurare la più ampia base di clienti riguardo al contenimento misure.
“Se non hai ricevuto nostre notizie direttamente, non sei stato interessato.”
Questo incidente evidenzia la fragilità della moderna catena di fornitura del software, dove la compromissione di un singolo fornitore può estendersi a più piattaforme principali. Per i leader IT aziendali, la violazione serve a ricordare come le integrazioni di terze parti spesso rappresentino l’anello più debole nel livello di sicurezza di un’organizzazione.
