Với lý do lỗi nghiêm trọng trong chuỗi cung ứng, OpenAI đã cắt đứt quan hệ với nhà cung cấp phân tích Mixpanel sau khi một vi phạm bảo mật làm lộ siêu dữ liệu của khách hàng. Tin tặc đã có được quyền truy cập trái phép vào nhật ký nhạy cảm sau khi nhắm mục tiêu vào một nhân viên Mixpanel bằng một cuộc tấn công đánh lừa (lừa đảo qua SMS).
Mặc dù OpenAI xác nhận rằng không có mô hình AI hoặc khóa xác thực nào bị đánh cắp, nhưng tập dữ liệu bị lộ bao gồm tên, email và thông tin vị trí của khách hàng Giao diện lập trình ứng dụng (API).
Các nền tảng tiền điện tử CoinTracker và CoinLedger cũng bị ảnh hưởng, báo hiệu một chiến dịch có mục tiêu chống lại nhóm khách hàng công nghệ của nhà cung cấp.
Cấu trúc của một cuộc tấn công đập phá
Được kích hoạt bởi một chiến dịch có chủ đích, lỗi bảo mật bắt đầu khi các cuộc tấn công đập phá đã xâm phạm thành công thông tin xác thực của nhân viên Mixpanel. Bản cập nhật bảo mật của Mixpanel xác nhận rằng trung tâm điều hành bảo mật của công ty đã xác định được mối đe dọa vào ngày 8 tháng 11 năm 2025.
Bất chấp phát hiện này, những kẻ tấn công vẫn tìm cách xâm nhập vào môi trường nội bộ. Truy cập trái phép vào các hệ thống cụ thể chứa dữ liệu khách hàng xảy ra vào ngày 9 tháng 11, cho phép các tác nhân đe dọa xuất nhật ký nhạy cảm. Jen Taylor, Giám đốc điều hành của Mixpanel, đã giải thích về trình tự phản hồi ban đầu.
Sau khi ngăn chặn tài khoản bị xâm nhập, công ty phân tích này đã bắt đầu một hoạt động dọn dẹp toàn diện để bảo vệ phạm vi của tài khoản.
Điều này bao gồm việc thu hồi các phiên hoạt động và buộc làm mới thông tin xác thực trên toàn bộ tổ chức để đảm bảo không còn tồn tại các cửa hậu dai dẳng. Theo báo cáo sự cố của công ty, các biện pháp này được thiết kế để cắt đứt hoàn toàn quyền truy cập của kẻ tấn công.
Đã xảy ra sự chậm trễ nghiêm trọng giữa lần vi phạm đầu tiên và thông báo cho khách hàng bị ảnh hưởng.
Trong khi quá trình đánh cắp dữ liệu diễn ra vào ngày 9 tháng 11, Mixpanel đã không thông báo cho OpenAI về nội dung tập dữ liệu cụ thể cho đến ngày 25 tháng 11, để lại khoảng thời gian 16 ngày trong đó dữ liệu bị lộ có khả năng xuất hiện trước khi khách hàng có thể được cảnh báo.
Lộ lộ siêu dữ liệu: Rủi ro tiềm ẩn
Nhấn mạnh vào việc ngăn chặn mối đe dọa, Tiết lộ của chính OpenAI làm rõ sự khác biệt giữa sự thỏa hiệp từ phía nhà cung cấp và bảo mật cơ sở hạ tầng của chính họ.
“Đây không phải là hành vi vi phạm hệ thống của OpenAI. Không có trò chuyện, yêu cầu API, dữ liệu sử dụng API, mật khẩu, thông tin xác thực, khóa API, chi tiết thanh toán hoặc chính phủ ID đã bị xâm phạm hoặc bị lộ.”
Tuy nhiên, việc đánh cắp siêu dữ liệu có thể gây tổn hại tương tự như việc mất thông tin xác thực vì nó cung cấp kế hoạch chi tiết cho kỹ thuật lừa đảo qua mạng có độ chính xác cao.
Bằng cách kết hợp tên, địa chỉ email và kiểu sử dụng, kẻ tấn công có thể tạo ra các email lừa đảo trực tuyến có sức thuyết phục cao vượt qua các bộ lọc thư rác tiêu chuẩn. Nhật ký được truy xuất từ phiên bản bị xâm nhập tiết lộ hồ sơ chi tiết về cơ sở người dùng, có thể đã được bao gồm trong dữ liệu xuất từ Mixpanel:
“Tên được cung cấp cho chúng tôi trên tài khoản API Địa chỉ email được liên kết với tài khoản API Vị trí gần đúng dựa trên trình duyệt người dùng API (thành phố, tiểu bang, quốc gia) Hệ điều hành và trình duyệt được sử dụng để truy cập tài khoản API Trang web giới thiệu Tổ chức hoặc ID người dùng được liên kết với tài khoản API”
Cộng thêm mức độ nghiêm trọng của vi phạm là việc bao gồm ID tổ chức và trang web giới thiệu. Các trường này cho phép các tác nhân đe dọa lập bản đồ cấu trúc công ty của các khách hàng doanh nghiệp của OpenAI, có khả năng tạo điều kiện cho các cuộc tấn công xâm phạm email doanh nghiệp (BEC) trong tương lai.
Sụp đổ chuỗi cung ứng và thiệt hại tài sản thế chấp
Phản ứng đối với hành vi vi phạm là ngay lập tức và mang tính trừng phạt. Trong một động thái cho thấy sự không chấp nhận ngày càng tăng đối với rủi ro do nhà cung cấp gây ra, OpenAI đã chấm dứt vĩnh viễn mối quan hệ kinh doanh với nhà cung cấp phân tích.
Bằng chứng pháp y cho thấy sự xâm nhập là một phần của chiến dịch rộng lớn hơn nhắm vào nhóm khách hàng công nghệ và tiền điện tử của Mixpanel.
Báo cáo về các nền tảng tiền điện tử bị ảnh hưởng cho thấy rằng các công cụ theo dõi danh mục đầu tư CoinTracker và CoinLedger cũng bị lộ dữ liệu, với những kẻ tấn công có khả năng tìm kiếm các bản tóm tắt giao dịch hoặc liên kết ví.
Mới phát hiện ra rằng CoinLedger cũng đang sử dụng Mixpanel và họ cũng bị ảnh hưởng bởi vụ rò rỉ dữ liệu.
Họ cũng cung cấp Họ và Tên của bạn nếu bạn đặt nó trong hồ sơ của họ (điều này có thể bạn đã làm, vì bạn cần nó cho báo cáo thuế).
Lừa đảo có chủ đích sẽ gia tăng. https://t.co/WLWsnriiJw pic.twitter.com/CzgkqEWgQu
— WiiMee (@wiimee) Ngày 27 tháng 11 năm 2025
Về phạm vi của vụ việc, Giám đốc điều hành Mixpanel Jen Taylor đã tìm cách trấn an cơ sở khách hàng rộng hơn về các biện pháp ngăn chặn.
“Nếu bạn chưa nhận được thông tin trực tiếp từ chúng tôi, bạn không bị ảnh hưởng.”
Sự cố này nêu bật sự mong manh của chuỗi cung ứng phần mềm hiện đại, nơi một sự thỏa hiệp của một nhà cung cấp duy nhất có thể xảy ra trên nhiều nền tảng chính. Đối với các nhà lãnh đạo CNTT của doanh nghiệp, vi phạm này đóng vai trò như một lời nhắc nhở rằng các hoạt động tích hợp của bên thứ ba thường là mắt xích yếu nhất trong tình hình bảo mật của tổ chức.
