OpenAI ha confirmat una de les seves pitjors bretxes de seguretat fins ara. Durant les últimes setmanes, milers d’usuaris han rebut correus electrònics alertant que les seves dades personals han estat filtrades. Correus, noms, ubicacions aproximades i patrons d’ús van quedar exposats després d’un accés no autoritzat que no va ocórrer dins d’OpenAI, sinó en un dels seus proveïdors externs: Mixpanel.
La fissura no estava en OpenAI
El 9 de novembre de 2025, Mixpanel va detectar un accés sospitós als seus sistemes. Dues setmanes després, va informar OpenAI que les dades d’usuaris vinculats a l’ús de les seves API també s’havien vist compromeses. L’incident no va afectar els usuaris del xat convencional, sinó a aquells que utilitzaven les eines d’OpenAI en aplicacions, webs o integracions pròpies.
Mixpanel és un servei d’analítica que ajuda a empreses a entendre com es fan servir els seus productes. Entre les dades filtrades hi ha adreces de correu, noms de comptes, identificadors tècnics, ubicacions aproximades i registres d’ús. Tot i que no es van exposar contrasenyes, claus API, ni historials de conversa, la informació robada pot ser suficient per llançar atacs de pesca de dades o suplantació d’identitat.
Quin tipus de dades estaven en joc
Les dades afectades no són especialment sensibles per si soles, però en conjunt dibuixen un perfil clar dels usuaris. Saber quin navegador usen, des d’on accedeixen i amb quina freqüència ho fan pot servir com a punt de partida per a campanyes dirigides. La bretxa no va afectar els models de llenguatge ni el contingut de les converses, però sí a les metadades que els envolten. Aquesta capa invisible que, en moltes ocasions, diu més que les mateixes paraules.
Quan l’enllaç feble està fora de focus
La clau de l’incident està en el seu origen: un proveïdor extern. OpenAI no va ser atacada directament, però el seu ecosistema sí. La dependència de tercers és comuna en qualsevol plataforma digital. Serveis d’analítica, optimització, emmagatzematge o seguretat operen darrere del teló. El que va ocórrer amb Mixpanel il·lustra com aquestes peces poden convertir-se en una fissura d’abast global.
No és el primer incident relacionat amb OpenAI el 2025. Aquest mateix any, investigadors van demostrar que certes configuracions de ChatGPT podien revelar dades internes si es manipulaven les instruccions correctament. També s’han documentat casos de converses públiques que van ser indexades per cercadors, sense que els usuaris ho sabessin.
Què poden fer els usuaris ara?
OpenAI ha enviat notificacions als comptes afectats. Recomana estar atent a intents de pesca de dades, utilitzar autenticació en dos passos quan sigui possible i revisar quin tipus de permisos s’han concedit a aplicacions connectades. Per a empreses que integren l’API d’OpenAI, l’incident és una crida d’atenció. No n’hi ha prou amb protegir el sistema propi si els aliats digitals no estan igual de blindats.
Un recordatori des de les ombres del núvol
El cas Mixpanel-OpenAI deixa una lliçó visible, l’invisible també falla. Utilitzem plataformes que semblen robustes, però l’estabilitat de les quals depèn d’una xarxa de serveis encadenats. N’hi ha prou amb una fissura en un d’ells perquè les dades circulin sense control. I encara que aquesta vegada els danys siguin limitats, el precedent ja hi és. Perquè en el món digital, la confiança no es trenca amb un atac directe, sinó amb una fissura petita en el lloc menys esperat.
Obre un parèntesi en les teves rutines. Subscriu-te a la nostra newsletter i posa’t al dia en tecnologia, IA i mitjans de comunicació.
