Vụ tấn công an ninh mạng xảy ra tại Mixpanel, một nhà cung cấp dịch vụ phân tích dữ liệu, được công bố ngay trước kỳ nghỉ lễ Tạ Ơn của Hoa Kỳ, đang đặt ra một chuẩn mực mới về cách không nên công bố một vụ lộ dữ liệu. Theo tin từ TechCrunch ngày 2 tháng 12 năm 2025, Giám đốc Điều hành Mixpanel, bà Jen Taylor, chỉ đưa ra một bài đăng blog sơ sài vào thứ Tư tuần trước, thông báo về một sự cố an ninh không xác định được phát hiện vào ngày 8 tháng 11, ảnh hưởng đến một số khách hàng. Tuy nhiên, bà không nêu rõ họ bị ảnh hưởng như thế nào hay số lượng khách hàng là bao nhiêu.
Bà Taylor đã không trả lời nhiều email của TechCrunch với hơn chục câu hỏi cụ thể về vụ việc, bao gồm việc liệu công ty có nhận được yêu cầu tống tiền từ tin tặc hay không, cũng như về việc liệu tài khoản nhân viên Mixpanel có được bảo vệ bằng xác thực đa yếu tố hay không.
Một trong những khách hàng bị ảnh hưởng là OpenAI, công ty đã phải tự đăng bài blog riêng hai ngày sau đó để xác nhận điều mà Mixpanel đã không nói rõ: dữ liệu khách hàng đã bị lấy cắp từ hệ thống của Mixpanel. OpenAI cho biết họ bị ảnh hưởng vì dựa vào phần mềm của Mixpanel để hiểu cách người dùng tương tác với một số phần trên trang web của mình, chẳng hạn như tài liệu dành cho nhà phát triển.
Người dùng OpenAI bị ảnh hưởng bởi vụ lộ dữ liệu tại Mixpanel có thể là các nhà phát triển sử dụng sản phẩm của OpenAI. Dữ liệu bị đánh cắp của OpenAI bao gồm tên, địa chỉ email, vị trí gần đúng (như thành phố và tiểu bang) dựa trên địa chỉ IP, và một số dữ liệu thiết bị có thể nhận dạng, như hệ điều hành và phiên bản trình duyệt. Tuy nhiên, phát ngôn viên của OpenAI, ông Niko Felix, khẳng định dữ liệu bị đánh cắp không chứa các mã định danh như ID quảng cáo Android hay IDFA của Apple, giúp hạn chế khả năng nhận dạng cá nhân người dùng OpenAI hoặc kết hợp hoạt động của họ với các ứng dụng khác. OpenAI cũng cho biết sự cố không ảnh hưởng trực tiếp đến người dùng ChatGPT và đã chấm dứt việc sử dụng dịch vụ của Mixpanel.
Mặc dù chi tiết về vụ lộ dữ liệu vẫn còn hạn chế, sự cố này đã làm dấy lên sự giám sát chặt chẽ đối với ngành công nghiệp phân tích dữ liệu, vốn kiếm lời từ việc thu thập vô số thông tin về cách mọi người sử dụng trang web và ứng dụng.
Mixpanel là một trong những công ty phân tích web và di động lớn nhất với 8.000 khách hàng doanh nghiệp. Với mỗi khách hàng của Mixpanel có thể có hàng triệu người dùng riêng, số lượng người dùng bình thường bị lộ dữ liệu có thể rất lớn. Các công ty phân tích thu thập và lưu trữ khối lượng lớn thông tin, bao gồm hàng tỷ điểm dữ liệu, về người tiêu dùng. Dữ liệu này có thể bao gồm hoạt động của người dùng (như mở ứng dụng, nhấp vào liên kết, vuốt trang, đăng nhập) cùng với thông tin về thiết bị và định danh duy nhất của người dùng. Mixpanel từng thừa nhận vào năm 2018 rằng mã phân tích của họ đã vô tình thu thập mật khẩu người dùng.
Mặc dù dữ liệu thu thập thường được “giả danh” (pseudonymized) để không chứa chi tiết nhận dạng trực tiếp, nhưng dữ liệu này vẫn có thể được đảo ngược để xác định danh tính thực tế hoặc dùng để “đánh dấu vân tay” thiết bị nhằm theo dõi hoạt động của người dùng trên các ứng dụng và internet. Mixpanel cũng cho phép khách hàng thu thập “bản ghi lại phiên hoạt động” (session replays) để tái tạo trực quan cách người dùng tương tác với ứng dụng hoặc trang web. Tính năng này được cho là loại trừ thông tin nhạy cảm, nhưng Mixpanel thừa nhận đôi khi vẫn vô tình thu thập dữ liệu nhạy cảm.
Rõ ràng, Mixpanel có rất nhiều câu hỏi cần trả lời về vụ lộ dữ liệu này. Mà không biết loại dữ liệu cụ thể nào bị ảnh hưởng, thì khó xác định mức độ nghiêm trọng hay số lượng người bị ảnh hưởng. Điều rõ ràng là các công ty như Mixpanel đang lưu trữ lượng lớn thông tin về người dùng và cách họ sử dụng ứng dụng của mình, và đang trở thành mục tiêu của các tin tặc độc hại.
