OpenAI expõe dados de usuários da API em brecha na Mixpanel

Em 26 de novembro de 2025, a OpenAI revelou exposição de dados de usuários da API via incidente na parceira Mixpanel.

• Dados vazados: nomes, e-mails, localização aproximada e detalhes de dispositivo.
• Não afetados: chats, API keys ou pagamentos.
• Ações: Término do contrato e notificações enviadas.

A OpenAI divulgou, em 26 de novembro de 2025, um incidente de segurança ocorrido na Mixpanel, sua ex-parceira de analytics. Um atacante acessou dados de perfis de usuários da API da OpenAI após um ataque de smishing (phishing via SMS) a um funcionário da Mixpanel em 8 de novembro de 2025.

A brecha não atingiu sistemas diretos da OpenAI. A Mixpanel notificou a empresa em 9 de novembro, mas entregou o conjunto de dados exposto apenas em 25 de novembro. Usuários afetados receberam alertas no dia seguinte.

Dados Expostos e Limitações

O vazamento incluiu identificadores de usuário, nomes, e-mails, localização geográfica aproximada (país/região), sistema operacional e tipo de dispositivo. Segundo o blog oficial da OpenAI, nenhum histórico de conversas, requisições de API, chaves de acesso, senhas ou dados de pagamento foi comprometido.

• Metadados analíticos: Exemplos como "usuário X acessou GPT-4 via iOS no Brasil".
• Escopo: Principalmente clientes empresariais com planos pagos; gratuitos tiveram menor impacto.

Respostas das Empresas

A Mixpanel revogou credenciais, bloqueou IPs suspeitos e contratou especialistas. A OpenAI encerrou o contrato imediatamente e iniciou revisão de todos os fornecedores terceirizados, adotando data minimization com dados agregados e anonimizados. A empresa migrou para solução interna de analytics.

Análises independentes estimam cerca de 1,2 milhão de usuários afetados, embora a OpenAI não confirme o número exato.

O Lado B: Críticas e Riscos

O atraso de 16 dias na entrega do dataset pela Mixpanel gerou debates em fóruns como Hacker News sobre transparência. Críticos apontam falta de MFA obrigatório no contrato e ausência de monitoramento gratuito na dark web para vítimas.

• Risco real: Dados combinados facilitam phishing personalizado, como "João, da Tesla, em Berlim via MacBook".
• Regulatório: Não ativa multas GDPR/CCPA por dados não sensíveis, mas questiona cumprimento de prazos de notificação.
• Impacto setorial: Aumenta escrutínio em cadeias de suprimentos de IA; fornecedores como Amplitude veem alta em consultas de segurança.

A OpenAI recomenda vigilância contra phishing, mas contratos isentam a empresa de responsabilidade por terceiros. O caso destaca vulnerabilidades em dependências SaaS no ecossistema de IA.