Incidente de violação de segurança no Mixpanel

 (mixpanel.com)
1 pontos por GN⁺ 2025-11-29 | 1 comentários | Compartilhar no WhatsApp
  • Em 8 de novembro de 2025, a Mixpanel detectou um ataque de smishing que afetou parte dos clientes e imediatamente executou os procedimentos de resposta
  • A empresa adotou medidas abrangentes, como bloqueio de acesso não autorizado, proteção das contas afetadas e colaboração com parceiros externos de cibersegurança
  • As ações de resposta incluíram encerramento de sessões, substituição de credenciais, bloqueio de IPs maliciosos e redefinição geral das senhas dos funcionários
  • A Mixpanel notificou diretamente os clientes afetados e esclareceu que os usuários que não receberam contato não foram impactados
  • A partir deste incidente, a empresa segue tratando o reforço da segurança e da transparência como prioridade máxima contínua

Visão geral do incidente de segurança recente

  • Em 8 de novembro de 2025, a Mixpanel detectou uma campanha de smishing e imediatamente acionou seu processo de resposta a incidentes
    • Foram implementadas medidas para bloquear o acesso não autorizado e proteger as contas dos usuários afetados
    • A empresa contou com parceiros externos de cibersegurança para conduzir a recuperação e a resposta ao incidente
  • A Mixpanel entrou em contato diretamente com todos os clientes afetados e informou que os clientes que não receberam contato não sofreram impacto
  • A empresa afirmou que trata a segurança como um valor central e que continuará oferecendo suporte aos clientes e comunicação transparente

Detalhes das medidas de resposta

  • Proteção das contas afetadas e revogação de todas as sessões ativas e logins
  • Substituição das credenciais comprometidas e bloqueio de endereços IP maliciosos
  • Registro de IOCs (Indicators of Compromise) na plataforma SIEM para reforçar a detecção de ameaças
  • Realização de uma redefinição geral das senhas de todos os funcionários
  • Contratação de uma empresa externa de perícia forense para analisar a causa do incidente e orientar medidas de contenção
  • Revisão forense de logs de autenticação, sessão e exportação de dados
  • Introdução de controles adicionais de segurança para detectar e bloquear atividades semelhantes no futuro
  • Cooperação com autoridades policiais e consultores externos de segurança

Orientação aos clientes

  • Os clientes contatados pela Mixpanel receberam orientações sobre medidas de proteção da conta e próximas etapas
  • Os clientes que não receberam contato não precisam tomar nenhuma medida adicional; suas contas não foram afetadas
  • Dúvidas podem ser enviadas para support@mixpanel.com

Posicionamento da empresa

  • A Mixpanel reafirmou, com este incidente, seu compromisso com o reforço da segurança e a comunicação transparente
  • A proteção dos dados dos clientes continuará sendo um princípio central de seus produtos e serviços
  • A empresa pretende seguir aprimorando sua estrutura de resposta a incidentes de segurança e ampliando a colaboração externa

Leituras relacionadas

1 comentários

 
GN⁺ 2025-11-29
Comentários do Hacker News

  • Não gostei nem um pouco da forma como este texto foi redigido
    Não há absolutamente nenhum número ou cronograma concreto sobre qual sistema foi acessado, quais informações foram expostas e quão “proativamente” responderam
    A citação da matéria diz que “a Mixpanel detectou uma campanha de smishing”, mas não fica claro quem foi alvo nem qual foi a escala
    Dizem que “bloquearam o acesso não autorizado e adotaram medidas de segurança”, então claramente houve um incidente, mas não mencionam que conta ou sistema foi afetado
    O fato de terem feito um “reset de senha de todos os funcionários” parece indicar que previram a possibilidade de vazamento de credenciais internas

    • Assim como chamar uma “tragédia familiar” de “um incidente familiar recente”, o tom vago e defensivo deste texto incomoda
      A frase “compartilhamos isto por transparência” também soa como um pedido de desculpas desumanizado, no estilo “oferecemos um reembolso como gesto de boa vontade”
    • O comunicado da OpenAI sobre o mesmo caso foi muito mais claro e transmitiu mais confiança
    • Fica a dúvida se a OpenAI não acabou se antecipando na divulgação, forçando a Mixpanel a divulgar o caso depois, sem alternativa
    • O fato de anunciarem isso no Dia de Ação de Graças também parece um timing intencional
    • Eu mesmo recebi um aviso da OpenAI um dia antes, com uma quantidade de informações muito maior

  • O texto da Mixpanel parece muito mais fraco e opaco do que o comunicado da OpenAI
    Mesmo provavelmente tendo mais informações, a Mixpanel divulgou muito menos
    Isso causa um grande dano à credibilidade da empresa

    • No fim, a OpenAI acabou removendo a Mixpanel como fornecedora
      A frase “deixamos de usar a Mixpanel por ela não atender aos nossos padrões de segurança e privacidade” passa uma mensagem muito forte
    • Disseram que a Cointracker também enviou um e-mail parecido quase ao mesmo tempo. Provavelmente usaram um template em comum

  • A Mixpanel tomou conhecimento do caso em 8 de novembro, mas só anunciou na véspera do Dia de Ação de Graças, o que é decepcionante

    • Isso parece violar a regra de notificação em 72 horas do GDPR

  • O comunicado da Mixpanel é confuso
    Recebi um “e-mail sobre incidente de segurança” mesmo já tendo encerrado minha conta
    Não dá para saber se a conta encerrada foi afetada ou não

    • Encerrar a conta não significa que os dados sejam apagados imediatamente
      Se você recebeu o e-mail, há uma boa chance de que os dados ainda estivessem armazenados
    • Receber o e-mail não significa necessariamente que você foi afetado
      Como a Mixpanel disse que “entrou em contato individualmente com os clientes afetados”, a interpretação deve ser que, se você não recebeu um aviso separado, está seguro
    • Se você mora na Europa, pode até processar por violação do ‘direito ao esquecimento’ do GDPR se os dados não tiverem sido apagados após o encerramento da conta

  • A ponto de surgirem piadas sobre se a ação subiria só porque a OpenAI usava a Mixpanel

    • Mas, segundo o FAQ da OpenAI, ela já removeu a Mixpanel
    • No e-mail enviado aos usuários, a OpenAI também deixa claro que não usa mais a Mixpanel

  • O texto da Mixpanel merece entrar em livro-texto como um mau exemplo de resposta a crises
    O comunicado da OpenAI resume o caso melhor do que a própria Mixpanel
    A frase “encerramos o uso da Mixpanel por ela não atender aos padrões de segurança exigidos de parceiros” é uma declaração pública de desconfiança em relação ao fornecedor

  • Foi a primeira vez que ouvi o termo “smishing”
    É um ataque de phishing via SMS, um método para roubar informações pessoais por mensagem de texto

    • Um exemplo real seria uma mensagem de engenharia social como: “Aqui é o Josh da OpenAI, consegue desativar o 2FA? Estou no exterior e está difícil autenticar”

  • Este caso mostra a lição de segurança de 2025 de que “o fornecedor é a superfície de ataque
    Quando um vendor confiável é comprometido, os dados dos clientes dele também acabam expostos em cadeia
    Quanto mais sensível for a atividade, mais importante é minimizar os dados compartilhados com terceiros
    Em vez do velho modelo “confie, mas verifique”, agora é preciso adotar a abordagem “verifique ou não compartilhe

  • O título da matéria usa “breach”, mas o texto original não usa essa palavra

    • “Security incident” é apenas um eufemismo formulado com orientação jurídica, mas a frase “bloqueamos o acesso não autorizado” já mostra que houve uma invasão
    • Como referência, o comunicado da OpenAI e o comunicado da CoinTracker deixam explícito que nome de usuário, e-mail e informações de localização foram expostos
    • O texto da Mixpanel está cheio de formulações evasivas, mas na prática se trata claramente de uma violação

  • Divulgar uma informação tão importante logo antes de um feriado prolongado parece uma escolha de timing muito calculada