SAN FRANCISCO – Společnost OpenAI, tvůrce populárního chatbota ChatGPT, rozeslala svým zákazníkům varování před bezpečnostním incidentem. Útočníkům se podařilo získat data uživatelů platformy pro vývojáře, a to skrze napadení externího dodavatele, společnosti Mixpanel. Ačkoliv nedošlo k prolomení samotných systémů OpenAI ani k úniku hesel či obsahu konverzací, firma varuje před zvýšeným rizikem cílených kybernetických útoků.
K incidentu došlo 9. listopadu 2025 uvnitř systémů společnosti Mixpanel, která pro OpenAI zajišťovala webovou analytiku uživatelského rozhraní API produktů. OpenAI byla o rozsahu úniku informována 25. listopadu, kdy obdržela zasažený datový soubor.
Co uniklo a co je v bezpečí
Podle oficiálního vyjádření OpenAI se únik týká uživatelů platformy platform.openai.com. Hackeři získali přístup k tzv. metadatům a profilovým informacím. Mezi kompromitovaná data patří:
-
Jména a e-mailové adresy spojené s účtem.
-
Přibližná poloha uživatele (město, stát, země).
-
Informace o použitém zařízení (operační systém, prohlížeč).
-
Uživatelská ID a ID organizací.
Společnost důrazně uvedla, že kriticky citlivé údaje zůstaly v bezpečí. „Nejednalo se o průnik do systémů OpenAI. Žádné chaty, požadavky na API, hesla, API klíče, platební údaje ani doklady totožnosti nebyly kompromitovány,“ stojí v prohlášení firmy.
OpenAI ukončila spolupráci s dodavatelem
Reakce technologického giganta na sebe nenechala dlouho čekat. V rámci bezpečnostního vyšetřování OpenAI okamžitě odstranila nástroje společnosti Mixpanel ze svých produkčních služeb a následně s tímto dodavatelem zcela ukončila spolupráci.
„Důvěra, bezpečnost a soukromí jsou základem našich produktů. Partnery a dodavatele činíme odpovědnými za dodržování nejvyšších standardů bezpečnosti,“ uvedla OpenAI s tímž, že nyní provádí rozšířené bezpečnostní prověrky i u ostatních dodavatelů ve svém ekosystému.
Hrozí vlna phishingu
Ačkoliv uživatelé nepřišli o hesla ani peníze, experti varují, že kombinace uniklých dat je ideální pro tzv. social engineering a phishing. Útočníci nyní disponují jmény, e-maily a vědí, že dotyční využívají služby OpenAI. To jim umožňuje vytvářet vysoce důvěryhodné podvodné e-maily, které se mohou tvářit jako oficiální komunikace od OpenAI.
Společnost proto vyzývá uživatele k ostražitosti. Varuje před klikáním na odkazy v nevyžádaných e-mailech a připomíná, že nikdy nepožaduje zaslání hesel nebo API klíčů prostřednictvím e-mailu či chatu. Uživatelům je rovněž doporučeno aktivovat dvoufaktorové ověřování (MFA), pokud tak ještě neučinili.
