OpenAI ChatGPT soal Data Pengguna Bocor: karena Pihak Ketiga

OpenAI ChatGPT mengumumkan insiden keamanan yang menyebabkan sebagian data pengguna API terekspos setelah pihak ketiga, Mixpanel, mengalami peretasan pada sistem mereka. 

Melansir laman resmi OpenAI (26/11), induk ChatGPT itu menegaskan bahwa kejadian ini tidak berasal dari sistem internal OpenAI dan tidak berdampak pada pengguna ChatGPT.

Dalam pernyataannya, OpenAI menyebut Mixpanel, penyedia analitik yang digunakan untuk memantau aktivitas web pada platform API, mendeteksi akses tidak sah pada 9 November 2025. Dataset yang diekspor berisi informasi terbatas pengguna API. Mixpanel kemudian memberitahu OpenAI dan menyerahkan dataset terdampak pada Selasa (25/11).

OpenAI memastikan bahwa tidak ada data sensitif seperti percakapan ChatGPT, permintaan API, kata sandi, API key, data pembayaran, maupun identitas resmi yang bocor. Data yang terdampak hanya mencakup informasi profil ringan, yaitu:

• Nama yang terdaftar pada akun API
• Email akun API
• Lokasi kasar berdasarkan browser (kota, provinsi, negara)
• Sistem operasi dan browser pengguna
• Situs rujukan
• Organization ID atau User ID

Perusahaan juga menyampaikan bahwa kebocoran hanya berdampak pada akun API, bukan akun pengguna ChatGPT biasa. Temuan ini disebut berpengaruh bagi organisasi yang menggunakan API OpenAI dalam operasional mereka, termasuk workflow kerja dan integrasi antaraplikasi. 

Beberapa kategori data yang terekspos meliputi nama pengguna API, alamat email, lokasi kasar berdasarkan browser, sistem operasi, jenis browser, situs rujukan, serta Organization ID atau User ID. Tidak ada data sensitif seperti percakapan, permintaan API, kata sandi, API key, data pembayaran, atau dokumen identitas resmi yang bocor.

Sebagai respons, OpenAI menghapus Mixpanel dari layanan produksi, meninjau dataset yang bocor, dan bekerja sama dengan Mixpanel untuk memastikan cakupan insiden. 

Perusahaan juga mulai memberi notifikasi kepada organisasi, admin, dan pengguna API yang terdampak. Setelah evaluasi, OpenAI menghentikan penggunaan Mixpanel dan meningkatkan standar keamanan untuk seluruh mitra dan vendor.

OpenAI juga mengingatkan bahwa informasi yang terpapar berpotensi dimanfaatkan dalam serangan phishing. Pengguna diminta mewaspadai email mencurigakan, memeriksa sumber pesan, serta mengaktifkan autentikasi multifaktor. Perusahaan menegaskan tidak pernah meminta password, API key, atau kode verifikasi melalui email, pesan teks, maupun chat.

Sejumlah langkah pencegahan yang bisa diambil di antaranya, hanya menggunakan alat AI yang disetujui perusahaan, tidak memakai akun pribadi untuk pekerjaan, mematuhi kebijakan penggunaan AI perusahaan, menginisiasi pembuatan pedoman etika AI bila belum tersedia, mengaktifkan MFA, dan memverifikasi setiap pesan yang diterima.