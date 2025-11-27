Ein Smishing-Angriff auf Mixpanel, den Webanalyse-Dienstleister von OpenAI, führte zum Abfluss sensibler Nutzerdaten von OpenAI-Kunden. Erfahren Sie, welche Daten betroffen sind und wie OpenAI reagiert.

Am 9. November 2025 wurde ein Sicherheitsvorfall beim Webanalyse-Dienstleister Mixpanel entdeckt, der auch OpenAI betrifft. Mixpanel, ein Anbieter von Webanalysetools, wurde Ziel einer Smishing-Kampagne, bei der Angreifer über Phishing-SMS Zugang zu sensiblen Daten erlangten. OpenAI informierte am 25. November 2025 über den Vorfall und die potenziellen Auswirkungen auf Nutzer seiner API-Dienste.

Umfang des Datenlecks Laut OpenAI sind ausschließlich Nutzer betroffen, die die OpenAI-API (platform.openai.com) verwendet haben. Daten von ChatGPT-Nutzern oder anderen Produkten des Unternehmens sind nicht kompromittiert. Zu den potenziell abgeflossenen Informationen gehören:

Namen und E-Mail-Adressen der API-Nutzer

Geografische Standortdaten (Stadt, Bundesland, Land)

Informationen zu Betriebssystemen und Browsern

Webseiten-Referrer

Organisations- oder Benutzer-IDs, die mit API-Konten verknüpft sind

OpenAI betont, dass keine sensiblen Daten wie API-Schlüssel, Passwörter, Zahlungsinformationen oder Chatinhalte betroffen sind. Auch die Systeme von OpenAI selbst wurden nicht kompromittiert.

Reaktion von OpenAI und Mixpanel

Nach Bekanntwerden des Vorfalls hat OpenAI die Nutzung von Mixpanel in seinen Produktivsystemen eingestellt und die betroffenen Datensätze untersucht. Das Unternehmen arbeitet eng mit Mixpanel und externen Cybersicherheitsexperten zusammen, um das genaue Ausmaß des Vorfalls zu klären. Betroffene Nutzer, Administratoren und Organisationen sollen direkt informiert werden. Mixpanel erklärte in einem Blogbeitrag, dass der Angriff durch eine Smishing-Kampagne ausgelöst wurde, bei der Mitarbeiter zur Herausgabe von Zugangsdaten verleitet wurden. Der Vorfall führte zur Einleitung eines Incident-Response-Prozesses, bei dem der unbefugte Zugriff begrenzt und die betroffenen Konten gesichert wurden. Externe Sicherheitspartner wurden hinzugezogen, um weitere Maßnahmen zu ergreifen.

Konsequenzen und Ausblick

Der Vorfall zeigt erneut die Gefahren von Social-Engineering-Angriffen wie Smishing. OpenAI hat angekündigt, die Sicherheitsanforderungen für alle Partner und Anbieter zu erhöhen und zusätzliche Sicherheitsuntersuchungen durchzuführen. Mixpanel versichert, umfassende Maßnahmen zur Eindämmung des Vorfalls ergriffen zu haben. Da Mixpanel über 29.000 Kunden weltweit hat, darunter namhafte Unternehmen wie Uber, Autodesk und Nasdaq, ist es möglich, dass weitere Unternehmen in den kommenden Tagen ähnliche Vorfälle melden werden. Nutzer sollten wachsam bleiben und auf mögliche Hinweise auf Missbrauch ihrer Daten achten. Dieser Vorfall unterstreicht die Bedeutung robuster Sicherheitsmaßnahmen und die Notwendigkeit, Mitarbeiter regelmäßig über die Risiken von Phishing-Angriffen aufzuklären.