Media90 – Insiden keamanan siber mengguncang OpenAI, perusahaan di balik chatbot populer ChatGPT. Pada akhir November 2025, OpenAI mengonfirmasi bahwa sejumlah data identifikasi pengguna API mereka, termasuk nama dan alamat email, terekspos. Menariknya, kebocoran ini bukan berasal dari serangan langsung ke sistem inti ChatGPT atau infrastruktur riset AI, melainkan dari celah pada penyedia analitik pihak ketiga, Mixpanel.
Melalui blog resminya, OpenAI menekankan bahwa hacker tidak menembus pertahanan utama mereka. Insiden ini berawal dari kampanye phishing SMS yang memanfaatkan kerentanan Mixpanel sejak 8 November, meskipun laporan lengkap baru diterima OpenAI pada 25 November. Perusahaan langsung merespons keesokan harinya, menyoroti pentingnya keamanan rantai pasokan digital.
Siapa yang Terpengaruh?
Mayoritas pengguna harian ChatGPT, baik lewat web maupun aplikasi, tidak terdampak. Kebocoran terbatas pada pengguna akun API—developer, perusahaan, dan organisasi yang mengintegrasikan model AI OpenAI ke dalam aplikasi mereka.
OpenAI menegaskan, data sensitif seperti chat, permintaan API, password, kredensial, kunci API, detail pembayaran, atau kartu identitas tidak tersentuh. Namun, data identifikasi dasar yang terekspos meliputi:
-
Nama dan alamat email.
-
Informasi teknis seperti sistem operasi, browser, dan lokasi umum pengguna.
-
Situs web yang mengarahkan pengguna (referring website).
-
ID organisasi atau ID pengguna yang terkait akun API.
Risiko Serangan Phishing yang Lebih Bertarget
Meskipun reset password atau pembuatan kunci API baru tidak diwajibkan, data yang terekspos bisa dimanfaatkan untuk serangan phishing dan rekayasa sosial bertarget. Hacker dapat membuat email penipuan seolah berasal dari OpenAI atau Mixpanel, dengan tujuan mencuri kredensial atau kunci API sensitif.
OpenAI mendorong pengguna untuk meningkatkan keamanan, termasuk mengaktifkan Two-Factor Authentication (2FA) dan selalu memverifikasi sumber sebelum mengklik tautan atau mengunduh lampiran.
Pelajaran dari Rantai Pasokan Digital
Insiden ini menekankan pentingnya keamanan supply chain di era AI dan cloud. Layanan pihak ketiga yang diintegrasikan untuk analitik atau fungsi back-end bisa menjadi titik lemah utama.
Sebagai tindakan, OpenAI segera menghapus Mixpanel dari layanan produksinya dan memulai investigasi internal menyeluruh. Langkah ini menjadi peringatan bagi ekosistem teknologi: penggunaan layanan pihak ketiga memang meningkatkan efisiensi, namun risiko keamanan harus dikelola dengan ketat.
Pertahanan terbaik saat ini adalah adopsi universal 2FA dan kesadaran tinggi pengguna API terhadap upaya rekayasa sosial yang semakin canggih dan personal.
