OpenAI hat Entwickler vor möglichen Phishing-Angriffen gewarnt, nachdem Hacker Daten von Mixpanel, einem Analyse-Partner des Unternehmens, gestohlen hatten. Laut einer Mitteilung vom Donnerstag war das Sicherheitsvorfälle Anfang November auf einem System von Mixpanel, einem Web-Analytik-Plattform mit über 11.000 Unternehmen als Kunden, entstanden. Die betroffenen Daten umfassten möglicherweise begrenzte Analyseinformationen wie Namen, E-Mail-Adressen und ungefähre Standorte von Nutzern der OpenAI-API. OpenAI betonte jedoch, dass dessen eigene Systeme nicht gehackt wurden und dass ChatGPT-Nutzer nicht betroffen waren. Insbesondere Passwörter, Zahlungsdaten sowie Chat- oder API-Anfragen seien nicht kompromittiert worden. Dennoch warnte das Unternehmen Entwickler, verdächtige E-Mails oder Nachrichten mit Vorsicht zu behandeln, da die gestohlenen Daten für gezielte Phishing-Kampagnen genutzt werden könnten. Die Attacke auf Mixpanel soll auf eine sogenannte „Smishing“-Aktion zurückgehen – eine Form von Social-Engineering, bei der Opfer über gefälschte SMS-Nachrichten zum Klicken auf schadhaften Links oder zur Prellung sensibler Daten verleitet werden. Die genaue Anzahl der Betroffenen blieb ungenannt. Die CEO von Mixpanel, Jen Taylor, bestätigte, dass das Unternehmen mit betroffenen Kunden kommuniziert und die Polizei hinzugezogen hat. Experten wie Jake Moore von ESET sehen die exponierten Daten zwar als von geringer Sensibilität, betonen aber, dass sie in Kombination mit anderen Informationen überzeugende, gefälschte Nachrichten ermöglichen könnten. OpenAI, das in kürzester Zeit zu einer der wertvollsten Tech-Unternehmen der Welt aufgestiegen ist, steht seit jeher im Fokus von Cyberangriffen. Schon im Vorjahr hatte ein Hacker Zugriff auf interne Kommunikationssysteme erhalten und vertrauliche Daten zu fortschrittlichen KI-Technologien gestohlen. Zudem wurde im Juni 2024 ein ehemaliger Forscher entlassen, nachdem er Bedenken hinsichtlich der Sicherheit und des Risikos chinesischer Spionage geäußert hatte. Obwohl OpenAI auf Anfrage außerhalb der Geschäftszeiten nicht reagierte, unterstreicht der Vorfall erneut die Bedeutung robusten Cyberschutzes, besonders bei Unternehmen, die sensible Daten und kritische KI-Infrastrukturen verwalten. Für Entwickler bedeutet dies, dass auch indirekte Schwachstellen in Partnerunternehmen ein erhebliches Risiko darstellen können.