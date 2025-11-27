OpenAI sta inviando email ai suoi utenti avvisandoli di un incidente di sicurezza che ha esposto le loro informazioni. Al momento non è dato a sapere quanti siano gli account coinvolti. Un comunicato ufficiale (link a fondo articolo) che si apre con La trasparenza è importante per noi fa però luce sulle cause del breach, di fatto attribuendo la responsabilità a un provider esterno, Mixpanel.

OpenAI conferma la violazione: i dati esposti

È una società che si occupa di data analytics, a cui OpenAI si è affidata per le analisi sul frontend dell’API con uno strumento di terze parti. L’8 novembre è venuta a conoscenza della violazione, messa a segno attraverso un accesso non autorizzato ad alcuni sistemi, concretizzatasi con l’esportazione di un dataset. Ecco quali sono i dati esposti (nessuna compromissione per password e chiavi).

Nome fornito con gli account su platform.openai.com;

indirizzo email collegato agli account API tramite platform.openai.com;

geolocalizzazione approssimativa stabilita con indirizzo IP e browser;

sistema operativo e browser utilizzati;

siti web di riferimento;

aziende e ID utenti associati all’account API.

Gli utenti di ChatGPT sono al sicuro

L’organizzazione guidata da Sam Altman sottolinea che l’incidente non ha interessato in alcun modo la sua infrastruttura, la piattaforma su cui poggia ChatGPT, i suoi utenti e le conversazioni con l’intelligenza artificiale.

Non si è trattato di una violazione dei sistemi di OpenAI. Nessuna chat, richiesta API, dati di utilizzo API, password, credenziali, chiavi API, dettagli di pagamento o documenti d’identità governativi sono stati compromessi o esposti.

OpenAI ha rimosso ogni collegamento a Mixpanel dai suoi prodotti, sta partecipando all’indagine per fare chiarezza sull’accaduto e ha dato il via alla spedizione delle email con gli avvisi che comunicano la violazione. Rende noto che le informazioni sottratte potrebbero essere utilizzate dai cybercriminali per campagne di phishing o per attacchi di social engineering.