Smishing na Mixpanel afeta dados da OpenAI

Um ataque de smishing contra funcionários da Mixpanel levou a acesso não autorizado a parte de seus sistemas em 8–9 de novembro de 2025, afetando um número limitado de clientes corporativos, entre eles a OpenAI. A OpenAI confirmou que o incidente ocorreu exclusivamente na infraestrutura da Mixpanel, usada para analytics no frontend de platform.openai.com, e não em seus próprios sistemas.

Que dados foram expostos

Segundo a OpenAI, o invasor exportou um conjunto de dados com informações de perfil e analytics associadas a alguns usuários da API, incluindo: nome, endereço de e-mail, localização aproximada (cidade/estado/país) baseada no navegador, sistema operacional, navegador, ID de usuário/organização e site de referência. Não houve exposição de conteúdo de chats do ChatGPT, prompts, respostas, dados de uso da API, senhas, chaves de API, credenciais de conta, dados de pagamento ou documentos de identidade.

Quem foi impactado

O incidente afeta apenas usuários da plataforma de API (platform.openai.com); usuários de ChatGPT e outros produtos não foram impactados. Tanto Mixpanel quanto OpenAI informam que clientes só são considerados afetados se tiverem recebido notificação direta; quem não recebeu comunicação é tratado como não impactado.

Riscos e próximos passos

A principal preocupação é o uso dessas informações em ataques de phishing e engenharia social mais convincentes, explorando nome, e-mail e contexto técnico dos usuários. Em resposta, a OpenAI removeu a Mixpanel de todos os ambientes de produção, encerrou a parceria, elevou requisitos de segurança para terceiros e segue monitorando sinais de possível mau uso dos dados.

Recomendações para usuários

  • Ficar atento a e-mails/SMS que aleguem ser da OpenAI ou sobre a conta/API, verificando remetente e evitando clicar em links ou fornecer códigos/senhas.
  • Ativar 2FA em contas OpenAI e demais serviços críticos e nunca enviar senhas, chaves de API ou códigos de verificação por e-mail, SMS ou chat