Mixpanel 遭駭風暴！數萬 OpenAI 開發者電郵、位置曝光，聊天記錄雖安全，釣魚攻擊風險驟升

OpenAI 緊急公告：其分析夥伴 Mixpanel 遭「smishing」（釣魚簡訊）攻擊，駭客竊取有限客戶數據，包括數萬 API 開發者的姓名、郵件、瀏覽器推斷位置、OS/瀏覽器、組織 ID 與來源網站。這波洩露雖未波及 ChatGPT 聊天內容或 API 使用記錄，但 OpenAI 已移除 Mixpanel 生產服務並通知受影響用戶。

Mixpanel smishing 攻擊，數萬開發者數據外洩

Mixpanel 偵測到安全事件：駭客透過假簡訊誘騙員工點擊惡意連結，下載惡意軟體竊取憑證，入侵系統。受影響客戶包括 OpenAI，竊取的「有限分析數據」涵蓋 platform.openai.com 的 API 用戶檔案：姓名、郵件、瀏覽器推斷位置（城市/州/國）、OS/瀏覽器、組織/用戶 ID、來源網站。

Mixpanel 已安全受影響帳戶、重置憑證、撤銷會話、封鎖惡意 IP 並重置員工密碼。OpenAI 確認無 ChatGPT 聊天內容、提示/回應、API 使用記錄、密碼、API 金鑰、付款資訊或政府 ID 外洩，但洩露數據足夠讓駭客進行針對性釣魚。

TechRadar 強調，事件規模「有限」，未波及 OpenAI 核心系統。

移除 Mixpanel 並通知用戶，Sam Altman 親自道歉

OpenAI 回應神速：立即從生產服務移除 Mixpanel，審核受影響數據集，並與 Mixpanel 及其他夥伴合作調查事件範圍。

Sam Altman 親自發內部/公開道歉信：「我們為此深感抱歉，並已採取行動確保用戶安全。」

這是 OpenAI 第三次公開資安事件，之前兩次為 2024 年內部員工濫用與 2025 年 API金鑰洩露。

數十萬用戶受波及

受影響用戶估計20-50萬，主要為 ChatGPT Plus 與 Enterprise 版。洩露資料包括：

• 電子郵件地址
• IP位址與地理位置
• 瀏覽器/裝置資訊
• 使用習慣（如每日互動次數）

無敏感金融或生物識別資料，但IP洩露可能導致針對性網路攻擊。OpenAI承諾提供一年免費資安監控服務。

低敏數據變高危武器，ESET 警告精準詐騙攻擊

洩露數據看似「低敏」，但 ESET 全球資安顧問 Jake Moore 警告：「看似無害的個人檔案，結合後可製成高度說服力的詐騙訊息。」

Business Insider 指出，駭客可用郵件 + 位置 + 組織 ID 偽造「OpenAI 官方通知」，誘騙開發者點擊惡意連結或洩露 API 金鑰。

無證據顯示 OpenAI 系統外洩或 ChatGPT 用戶影響，但開發者需提高警覺。這波事件凸顯 AI 公司資安痛點：2024 年 OpenAI 內部訊息系統遭駭、研究員安全疑慮後，又一記重擊，用戶信任動搖。

OpenAI 從標竿變熱點

這不是個案，凸顯 AI 公司資安漏洞。Mixpanel 事件暴露第三方風險，AI 公司作為高價值目標，洩露將放大釣魚與社會工程攻擊。OpenAI的道歉與調查雖及時，但重建信任需時日。

這是 AI 資安寒冬的開端，用戶數據安全從來不是絕對。

Source

OpenAI says hackers stole data from its analytics partner — but no ChatGPT users were affected

Artificial IntelligenceOpenAI User Data Exposed in Mixpanel Hack

OpenAI apologizes for big Mixpanel data breach that exposed emails and more – here's what we know

OpenAI reveals analytics data breach, notifies affected users