O conjunto de dados exportado pelos atacantes incluía nomes associados a contas, endereços de e-mail, localização aproximada estimada por IP, e dados sobre o sistema operativo e navegador utilizados. A empresa foi perentória ao afirmar que o incidente “não foi uma violação dos sistemas da OpenAI” e que informações mais sensíveis como “nenhum chat, pedidos de API, dados de utilização da API, palavras-passe, credenciais, chaves de API, detalhes de pagamento ou documentos de identificação governamentais foram comprometidos ou expostos”. A Mixpanel detetou o acesso não autorizado a 9 de novembro de 2025 e partilhou os dados afetados com a OpenAI a 25 de novembro. A OpenAI, por sua vez, interrompeu temporariamente o uso dos serviços da Mixpanel e começou a notificar os clientes dois dias depois, recomendando vigilância contra possíveis campanhas de phishing.

O número exato de contas afetadas não foi divulgado, mas o incidente levanta novamente questões sobre a segurança na cadeia de fornecimento digital e a responsabilidade na gestão de dados por parte de terceiros.