Útočník získal přístup k údajům tisíců uživatelů OpenAI přes napadenou platformu Mixpanel. Získaná data zahrnují jména, e-maily i technické detaily o zařízení uživatelů. Přestože nedošlo k úniku hesel ani platebních údajů, experti varují před vlnou cílených phishingových útoků.
Je to e-mail, který nikdo nechce dostat, ale který se bohužel stává v našich schránkách až příliš často. Společnost OpenAI, která stojí za AI nástrojem ChatGPT a je zodpovědná za revoluci v oblasti umělé inteligence, potvrdila bezpečnostní incident. A ne, není to fáma. Sama společnost vydala prohlášení, ve kterém vysvětluje, že došlo k vyzrazení dat tisíců uživatelů.
Pokud patříte k těm, kteří si myslí, že „mě se to nedotkne, protože ChatGPT používám jen pro shrnutí“, obávám se, že se mýlíte. Protože ačkoli je incident nuancovaný, skutečnost je taková, že databáze s osobními údaji je nyní v rukou nesprávných lidí.
Nebyla to společnost OpenAI, ale její poskytovatelé
Abyste pochopili rozsah problému, musíte nejprve pochopit, jak tyto obří společnosti fungují. Společnost OpenAI nedělá vše sama, ale najímá si třetí strany, které analyzují, jak její služby používáme. V tomto případě nebyla bezpečnostní díra v serverech Sama Altmana, ale v serverech společnosti Mixpanel, která se zabývá analýzou dat a kterou OpenAI využívala k měření návštěvnosti a využívání svého webového rozhraní.
Dne 9. listopadu 2025 získal útočník neoprávněný přístup do systémů společnosti Mixpanel a „vyexportoval“ (tj. ukradl) datovou sadu obsahující informace o uživatelích služby OpenAI.
OpenAI User Data Exposed in Mixpanel Hack – https://t.co/My8vdtvfUC
— SecurityWeek (@SecurityWeek) November 28, 2025
Společnost, která již v posledních týdnech musela řešit jiné komplikované situace, chtěla dát jasně najevo, že její vlastní systémy nebyly narušeny. Nebyly dotčeny ani vaše konverzace s chatbotem, ani vaše hesla, ani vaše kreditní karty. To však neznamená, že nebezpečí není reálné.
Co přesně vám bylo ukradeno
Právě tady přichází ta složitější část. Útok postihl především uživatele rozhraní API OpenAI, nikoli nutně uživatele bezplatné verze ChatGPT „na ulici“. Vzhledem k objemu uživatelů, kteří si s API pohrávají nebo jej používají ve svých firmách, je však seznam obrovský.
Údaje, které si útočník vzal pod paži, jsou následující:
- Vaše celé jméno (to, které jste uvedli při registraci).
- Vaše e-mailová adresa.
- Vaše přibližná poloha (město, stát a země na základě IP).
- Technické informace, jako je operační systém a prohlížeč, který používáte.
- ID uživatele a organizace spojené s účtem.
Opět nedošlo k úniku hesel, klíčů API ani bankovních údajů. Mají však váš e-mail a vědí, že jste zákazníkem OpenAI.
Nebezpečí tohoto úniku nespočívá v tom, že se do vašeho účtu dostanou hned teď, ale v tom, co se pokusí udělat v následujících týdnech. Tím, že mají vaše jméno, e-mail a vědí, že používáte rozhraní API OpenAI, mají kyberzločinci dokonalou „startovací sadu“, aby na vás mohli podniknout mimořádně důvěryhodné phishingové útoky a útoky sociálního inženýrství.
Představte si, že zítra obdržíte e-mail, ve kterém stojí: „Ahoj (Vaše jméno), zjistili jsme problém s vaším rozhraním OpenAI API v (Vaše město). Z důvodu bezpečnosti potřebujeme, abyste zde ověřili své heslo“. Vypadá to reálně, mají vaše údaje a o zbytek se postará strach. Tam vám skutečně ukradnou účet.
Reakce OpenAI a co musíte udělat
Společnost OpenAI jednala rychle: přerušila veškeré vztahy se společností Mixpanel a provádí audit ostatních svých dodavatelů.
Míč je však nyní na vaší straně. Ačkoli společnost OpenAI tvrdí, že heslo měnit nemusíte, protože nedošlo k jeho úniku, mé doporučení je stejné jako vždy:
- V následujících týdnech si dávejte pozor na JAKÝKOLIV e-mail, který údajně přijde od společnosti OpenAI, zejména pokud po vás bude chtít podrobnosti nebo vás bude vyzývat k urychlenému kliknutí na odkaz.
- Ověřte si odesílatele: Ujistěte se, že e-maily přicházejí z oficiální domény OpenAI.
- Povolte dvoufaktorové ověřování (2FA/MFA): Pokud jste tak ještě neučinili, máte zpoždění. Je to jediná skutečná bariéra, která někomu zabrání dostat se do vašeho účtu, i když získá vaše heslo lstí.
Co dalšího můžete udělat pro svou ochranu
Kromě okamžitých opatření můžete podniknout i další kroky, které vás ochrání z dlouhodobého hlediska:
- Vzdělávejte se v oblasti kybernetické bezpečnosti: Buďte informováni o nejnovějších taktikách phishingu a o tom, jak je rozpoznat. Existuje mnoho online zdrojů, které vám pomohou lépe pochopit, jak se chránit.
- Používejte správce hesel: Tyto programy nejen bezpečně ukládají vaše hesla, ale mohou také generovat silná, jedinečná hesla pro každou z vašich služeb.
- Zkontrolujte nastavení ochrany osobních údajů: Ujistěte se, že nastavení ochrany osobních údajů na všech platformách je upraveno tak, abyste minimalizovali množství osobních informací, které sdílíte.
Kybernetická bezpečnost je neustále se vyvíjející oblast a hrozby se rychle mění. Nejlepší obranou proti těmto útokům je zůstat ve střehu a být připraven.
Tento incident společnosti OpenAI je připomínkou toho, že ani ty technologicky nejvyspělejší společnosti nejsou imunní vůči narušení bezpečnosti. Odpovědnost za ochranu našich dat nesou společně společnosti i uživatelé. Zatímco společnost OpenAI pracuje na posílení svých systémů, my jako uživatelé musíme být při ochraně svých osobních údajů aktivní.
Online bezpečnost je trvalý úkol, který vyžaduje neustálou ostražitost. Zůstaňte informovaní, buďte obezřetní a neváhejte podniknout další kroky k ochraně sebe a svých dat.