OpenAI coupe les liens avec Mixpanel après qu'une violation du fournisseur ait révélé les métadonnées des clients

Invoquant une défaillance importante de la chaîne d'approvisionnement, OpenAI a rompu ses liens avec le fournisseur d'analyse Mixpanel après qu'une faille de sécurité ait exposé les métadonnées des clients. Des pirates ont obtenu un accès non autorisé à des journaux sensibles après avoir ciblé un employé de Mixpanel avec une attaque par smishing (hameçonnage par SMS).

Bien qu'OpenAI ait confirmé qu'aucun modèle d'IA ou clé d'authentification n'a été volé, l'ensemble de données exposé comprend les noms, les adresses e-mail et les informations de localisation des clients de l'interface de programmation d'application (API).

Les plateformes de crypto-monnaie CoinTracker et CoinLedger ont également été touchées, signalant une campagne ciblée contre la clientèle technologique du fournisseur.

Anatomie d'une attaque par SMS

Déclenchée par une campagne ciblée, la faille de sécurité a commencé lorsqueattaques par smishinga réussi à compromettre les informations d'identification d'un employé de Mixpanel.Mise à jour de sécurité de Mixpanelconfirme que le centre des opérations de sécurité de l'entreprise a identifié la menace le 8 novembre 2025.

Malgré cette détection, les attaquants ont réussi à pivoter dans l’environnement interne. Un accès non autorisé à des systèmes spécifiques contenant des données clients a eu lieu le 9 novembre, permettant aux acteurs malveillants d'exporter des journaux sensibles. Jen Taylor, PDG de Mixpanel, a expliqué la séquence de réponse initiale.

Suite au confinement du compte compromis, la société d'analyse a lancé une opération de nettoyage complète pour sécuriser son périmètre.

Cela impliquait de révoquer les sessions actives et de forcer une actualisation des informations d'identification dans l'ensemble de l'organisation pour garantir qu'il ne reste plus de portes dérobées persistantes. Selon le rapport d'incident de l'entreprise, ces mesures visaient à couper complètement l'accès de l'attaquant.

Un délai critique s'est produit entre la violation initiale et la notification des clients concernés.

Bien que l'exfiltration ait eu lieu le 9 novembre, Mixpanel n'a informé OpenAI du contenu spécifique de l'ensemble de données que le 25 novembre, laissant une fenêtre de 16 jours pendant laquelle les données exposées étaient potentiellement disponibles avant que les clients puissent être avertis.

Exposition des métadonnées : les risques cachés

Soulignant l'endiguement de la menace,Propre divulgation d'OpenAIclarifie la distinction entre la compromission côté fournisseur et la sécurité de sa propre infrastructure.

"Il ne s'agit pas d'une violation des systèmes d'OpenAI. Aucune conversation, demande d'API, données d'utilisation de l'API, mots de passe, informations d'identification, clés API, détails de paiement ou identifiants gouvernementaux n'ont été compromis ou exposés."

A lire aussi :OpenAI coupe les liens avec Scale AI quelques jours après l'investissement de Meta – En savoir plus ici

Cependant, le vol de métadonnées peut être tout aussi dommageable que la perte d’informations d’identification, car il fournit un modèle pour une ingénierie sociale de haute fidélité.

En combinant les noms, les adresses e-mail et les modèles d'utilisation, les attaquants peuvent créer des e-mails de spear phishing très convaincants qui contournent les filtres anti-spam standards. Les journaux récupérés de l'instance compromise révèlent un profil détaillé de la base d'utilisateurs, qui peut avoir été inclus dans les données exportées depuis Mixpanel :

• « Nom qui nous a été fourni sur le compte API
• Adresse email associée au compte API
• Localisation approximative basée sur le navigateur de l'utilisateur de l'API (ville, état, pays)
• Système d'exploitation et navigateur utilisés pour accéder au compte API
• Sites référents
• ID d'organisation ou d'utilisateur associés au compte API »

La gravité de la violation est aggravée par l’inclusion des identifiants d’organisation et des sites Web référents. Ces champs permettent aux acteurs malveillants de cartographier la structure d'entreprise des entreprises clientes d'OpenAI, facilitant potentiellement les futures attaques de compromission de la messagerie professionnelle (BEC).

Retombées de la chaîne d’approvisionnement et dommages collatéraux

La réponse à cette violation a été immédiate et punitive. Dans une démarche qui montre l'intolérance croissante à l'égard des risques induits par le fournisseur, OpenAI a définitivement mis fin à sa relation commerciale avec le fournisseur d'analyses.

Les preuves médico-légales suggèrent que l'intrusion faisait partie d'une campagne plus large ciblant la clientèle crypto-monnaie et technologie de Mixpanel.

Les rapports des plateformes de cryptographie concernées indiquent que les trackers de portefeuille CoinTracker et CoinLedger ont également été exposés à des données, les attaquants recherchant potentiellement des résumés de transactions ou des associations de portefeuilles.

Je viens de découvrir que CoinLedger utilisait également Mixpanel et qu'ils sont également concernés par la fuite de données.

Ils ont également fourni votre prénom et votre nom si vous les avez définis dans leur profil (ce que vous avez probablement fait, car vous en auriez besoin pour une déclaration fiscale).

Le phishing ciblé va augmenter.https://t.co/WLWsnriiJw pic.twitter.com/CzgkqEWgQu

– WiiMee (@wiimee)27 novembre 2025

Concernant l'ampleur de l'incident, Jen Taylor, PDG de Mixpanel, a cherché à rassurer la clientèle plus large sur les mesures de confinement.

« Si vous n’avez pas eu de nos nouvelles directement, vous n’avez pas été touché. »

Cet incident met en évidence la fragilité de la chaîne d’approvisionnement logicielle moderne, où la compromission d’un seul fournisseur peut se répercuter sur plusieurs plates-formes majeures. Pour les responsables informatiques des entreprises, cette faille rappelle à quel point les intégrations tierces représentent souvent le maillon le plus faible de la stratégie de sécurité d'une organisation.