OpenAI-Datenleck? Nein, nur der Partner Mixpanel hat gepatzt

Es ist mal wieder soweit: Die digitale Post bringt unschöne Nachrichten, diesmal von OpenAI. Allerdings, und hier wird die Sache pikant, hat es nicht das Herzstück des KI-Riesen getroffen, sondern einen seiner Zulieferer. Konkret geht es um Mixpanel, einen Partner für Datenanalysen, der offenbar beim Schutz von Kundendaten etwas nachlässig war.

OpenAI nutzt Mixpanel zur Web-Analyse seines Frontends und der API-Produkte auf platform.openai.com. Bei diesem Partner kam es zu einem Sicherheitsvorfall, den Mixpanel selbst am 9. November 2025 bemerkte und OpenAI meldete. Nach zwei Wochen genauerer Untersuchung informierte OpenAI seine Nutzer am 25. November über die Details des Datenabflusses. Die nüchterne Bilanz: Ein eingeschränkter Teil von Analysedaten, der API-Konten betrifft, wurde entwendet.

Nun zur zentralen Frage: Was genau ist weg? OpenAI beeilt sich zu versichern, dass keine Chatverläufe, API-Anfragen, Passwörter, Zahlungsdaten oder API-Schlüssel kompromittiert wurden. Ein Glück. Was jedoch bei dem Eindringling landete, sind API-Konten-Benutzernamen, die zugehörigen E-Mail-Adressen, ein auf Browserdaten basierender grober Standort der Nutzer, verwendetes Betriebssystem und Browser. Zudem könnten Website-Weiterleitungen sowie mit dem API-Konto verbundene Organisations- und User-IDs abhandengekommen sein. Es ist die übliche Metadaten-Suppe, die zwar harmlos klingt, aber für gezielte Angriffe Gold wert ist.

Das Unternehmen aus San Francisco hat, konsequent wie man ist, die technische Partnerschaft mit Mixpanel beendet. Man arbeitet nun an der Aufklärung, während man den ehemaligen Partner öffentlich an den Pranger stellt - zu Recht, möchte man meinen. Für betroffene Nutzer, die per E-Mail informiert werden, heißt das: Vorsicht ist die Mutter der digitalen Porzellankiste. Die gestohlenen Metadaten könnten, so die Warnung, zukünftig für Phishing-Versuche genutzt werden. Man kann sich bereits ausmalen, wie kreativ die Angreifer werden, wenn sie E-Mail und spezifische KI-Metadaten verknüpfen können. Wer noch Gesprächsbedarf zu der Misere hat, kann sich an die eigens eingerichtete Adresse mixpanelincident@openai.com wenden - ein deutliches Zeichen, dass man sich des Problems bewusst ist.