OpenAI, induk perusahaan di balik platform populer ChatGPT, telah mengonfirmasi terjadinya insiden kebocoran data. Namun, perusahaan tersebut dengan cepat memberikan klarifikasi bahwa data yang bocor bukanlah berasal dari percakapan atau sistem inti pengguna ChatGPT.
Insiden keamanan ini sepenuhnya bersumber dari Mixpanel, sebuah layanan analitik web pihak ketiga yang digunakan OpenAI untuk memantau penggunaan sistem antarmuka pemrograman aplikasi (API) pada website platform.openai.com.
Dalam keterangan resmi di blog mereka, OpenAI menegaskan bahwa insiden tersebut sepenuhnya terjadi di lingkungan dan sistem Mixpanel. Hal ini berarti, sistem internal OpenAI sama sekali tidak terpengaruh, dan kebocoran data ini tidak melibatkan layanan OpenAI lainnya, termasuk pengguna umum ChatGPT.
OpenAI juga menekankan bahwa tidak ada data sensitif yang bocor, seperti isi percakapan pengguna, data permintaan API, API key, kata sandi, metode pembayaran, hingga dokumen identitas pengguna.
Kronologi Kebocoran Data OpenAI
Menurut kronologi yang OpenAI sampaikan, Mixpanel pertama kali mendeteksi adanya upaya akses mencurigakan atau pembobolan ke sebagian sistem mereka pada tanggal 9 November 2025.
Pelaku serangan kemudian berhasil mengekspor suatu paket data (dataset) yang berisi sejumlah informasi analitik dasar pengguna API.
Setelah melalui proses penyelidikan, Mixpanel menyerahkan dataset tersebut kepada OpenAI pada 25 November untuk peninjauan lebih lanjut dan penilaian cakupan dampaknya.
Berdasarkan analisis OpenAI terhadap dataset yang dicuri, informasi yang terekspos meliputi:
- Nama yang terdaftar pada akun API.
- Alamat e-mail pengguna.
- Lokasi kasar berdasarkan browser yang digunakan (mencakup kota, negara bagian, dan negara).
- Jenis sistem operasi dan browser yang dipakai pengguna.
- Situs web yang terkait dengan penggunaan API.
- ID organisasi atau ID pengguna yang terasosiasi dengan akun API.
OpenAI kembali menegaskan bahwa ini adalah data analitik yang dikumpulkan oleh Mixpanel untuk tujuan pemantauan dasar, bukan data kredensial sensitif seperti password atau konten chat dari pengguna ChatGPT.
Respons Cepat OpenAI dan Imbauan Keamanan
Menanggapi insiden kebocoran data Mixpanel ini, OpenAI segera mengambil tindakan tegas, termasuk menghapus Mixpanel secara permanen dari seluruh sistem mereka. Selain itu, OpenAI tengah meninjau dataset yang terdampak dan bekerja sama dengan Mixpanel serta mitra lain untuk memahami sepenuhnya cakupan insiden ini.
Perusahaan juga telah memulai proses pengiriman notifikasi kepada organisasi, admin, dan pengguna API yang teridentifikasi terdampak oleh kebocoran data Mixpanel. Langkah pencegahan lain adalah peninjauan keamanan tambahan terhadap semua vendor dalam ekosistem OpenAI.
Meskipun data sensitif seperti kata sandi dan API key tidak bocor, OpenAI mengimbau pengguna untuk tetap waspada terhadap potensi serangan phishing atau penipuan social engineering yang mungkin memanfaatkan data yang tercuri. Langkah-langkah pencegahan yang direkomendasikan adalah:
- Selalu waspada terhadap e-mail atau pesan yang mencurigakan.
- Memastikan e-mail yang mengatasnamakan OpenAI benar-benar berasal dari domain resmi perusahaan.
- Tidak pernah memberikan kata sandi, API key, atau kode verifikasi kepada pihak yang tidak jelas.
- Mengaktifkan fitur otentikasi multi-faktor (MFA) untuk keamanan berlapis.
OpenAI menegaskan bahwa, dalam insiden ini, pengguna tidak perlu mengganti kata sandi atau mengubah API key karena data tersebut terkonfirmasi aman. Perusahaan berjanji akan terus memperbarui informasi terkait insiden kebocoran data Mixpanel ini jika ada temuan baru.
Bagi pengguna yang terdampak atau memiliki pertanyaan, dapat langsung menghubungi OpenAI melalui e-mail khusus di moc.ianepo@tnedicnilenapxim.
Baca Juga:
