OpenAI informiert seine Nutzer über einen Sicherheitsvorfall
von André Westphal | 3 Kommentare
OpenAI – Logo des Unternehmens
OpenAI informiert seine Nutzer derzeit über einen Sicherheitsvorfall. Dieser hat sich nach Angaben des Unternehmens, das vor allem für den KI-Chatbot ChatGPT, aber auch den Videogenerator Sora bekannt ist, nicht direkt bei OpenAI selbst, sondern bei einem Partner ereignet. Demnach habe es Probleme bei Mixpanel gegeben.
Mixpanel ist ein Partner von OpenAI, der letzteren Datenanalysen liefert. Die KI-Spezialisten geben an, dass sie Mixpanel für Web-Analysen des Frontends bzw. für die API-Produkte einsetzen (platform.openai.com). Ein eingeschränkter Teil an Analysedaten rund um API-Konten von OpenAI-Usern konnte von einem Eindringling entwendet werden.
OpenAI betont, dass aber keine Chatverläufe, konkrete API-Anfragen, Nutzungsdaten, Passwörter, Zahlungsdaten oder API-Schlüssel nach außen gedrungen seien. Was allerdings abgesaugt worden ist, sind teilweise Benutzernamen von API-Konten, die damit verbundenen E-Mail-Adressen, die groben Standorte der Nutzer, basierend auf ihren Browserdaten, sowie Angaben dazu, welches Betriebssystem und welchen Browser sie konkret verwendet haben. Auch Website-Weiterleitungen und Organisations- sowie User-IDs, die mit dem jeweiligen API-Konto verbunden sind, könnten nach außen gedrungen sein.
OpenAI schiebt Mixpanel den schwarzen Peter zu
Laut OpenAI sei Mixpanel am 9. November 2025 auf den Sicherheitsvorfall aufmerksam geworden und habe entsprechend auch OpenAI informiert. Am 25. November 2025 habe man dann im Detail erfahren, welche Daten gestohlen worden seien. Im Zuge der genauen Prüfung der Sicherheitsmaßnahmen habe man die technische Partnerschaft mit Mixpanel beendet und arbeite nun mit dem Unternehmen und weiteren Partnern daran, den Vorfall genau aufzuklären.
OpenAI rät Betroffenen, die über den Vorfall per E-Mail informiert werden, in naher Zukunft achtsam zu sein. Denn die gestohlenen Namen, E-Mail-Adressen und AI-Metadaten, wie eben User-IDs, könnten in Zukunft für Phishing-Versuche Verwendung finden. Weitere Informationen teilt OpenAI auch in seinem offiziellen Blog. Wer weitere Fragen zu der Misere hat, kann sich auch unter der speziellen E-Mail-Adresse „mixpanelincident@openai.com“ bei der Firma melden.
![INIU USB C Kabel, 100W [2m] PD3.0 Schnellladekabel USB C auf USBC, Nylon Geflochten Ladekabel USB-C Ladegerät für...](https://m.media-amazon.com/images/I/41Mn36IKCFL._SL160_.jpg)
![INIU USB C Kabel, [3 Stück 2m+2m+0,5m] 3.1A Ladekabel USB C Nylon Geflochten Schnellladekabel, USB auf USB C Kabel...](https://m.media-amazon.com/images/I/41r5kKdwFiL._SL160_.jpg)
![INIU 240W USB C Kabel, [2Pack 2m] PD Schnellladekabel USB C auf USB C, Nylon Geflochten Ladekabel USBC Ladegerät...](https://m.media-amazon.com/images/I/41r3DXOHFvL._SL160_.jpg)
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Wird geladen ...
Habe die Mail auch erhalten aber das juckt mich gar nicht mehr. Ich bin bei so vielen Vorfällen schon dabei gewesen, dass einer mehr oder weniger auch egal ist.
Der Wendepunkt war damals, als Mastercard bei seinem Priceless-Programm die Daten verloren hatte und ich die Datei mit eigenen Augen gesehen habe. Da war von Kreditkartennummer, bis vollständige Adresse und Telefonnummer alles drin. Ich durfte mir dann hinterher von Mastercard anhören, dass da keine sensiblen Informationen geteilt wurden. Leider habe ich mich der damaligen Sammelklage nicht angeschlossen und somit keine Entschädigung erhalten.
Aber ein Vorfall mehr oder weniger ist daher auch egal.
Mir kam als erstes der Gedanke: „Ist sowas noch eine Nachrichtwert? Passiert doch mittlerweile ständig – dann wird sich kurz aufegregt und ohne Änderung gehts weiter“.
(Auflösung: Ja, ist noch wichtig, alleine für den Zweck, dass man später mal weiß, WIESO man jetzt verstärkt, Spam Mails etc bekommt.)
Trotzdem: Ich habe mittlerweile resigniert, irgendjemandem zu empfehlen, Fake Accounts, VPN usw. zu benutzen.
Vor ein paar Tagen gabs doch den Vorfall bei Whats.App – hat da irgendjemand drauf reagiert? Tja, so isses. Als Firma würde ich denken: Tjo, Sicherheitsvorfall, who cares?
Wird auch mal Zeit, dass man in seinem Konto die E-Mail-Adresse und Handynummer ändern kann. Beides gibt es bei mir schon seit Monaten nicht mehr wie angegeben, da gewechselt. Handynummern werden aber nach ungefähr 6 Monaten wieder vergeben und E-Mail-Adressen nach 30 bis 60 Tagen, je nach Anbieter.