Sicherheitsvorfall bei Mixpanel

 (mixpanel.com)
1 Punkte von GN⁺ 2025-11-29 | 1 Kommentare | Auf WhatsApp teilen
  • Am 8. November 2025 erkannte Mixpanel einen Smishing-Angriff, der sich auf einige Kunden auswirkte, und leitete umgehend Reaktionsmaßnahmen ein
  • Das Unternehmen setzte umfassende Maßnahmen um, darunter das Blockieren unbefugter Zugriffe, den Schutz betroffener Konten und die Zusammenarbeit mit externen Cybersecurity-Partnern
  • Zu den Gegenmaßnahmen gehörten das Beenden von Sitzungen, der Austausch von Zugangsdaten, das Blockieren bösartiger IPs und das vollständige Zurücksetzen der Mitarbeiterpasswörter
  • Mixpanel hat die betroffenen Kunden direkt benachrichtigt und erklärt, dass Nutzer, die keine Nachricht erhalten haben, nicht betroffen sind
  • Das Unternehmen erklärt, Sicherheit und Transparenz auch künftig als oberste Priorität weiter zu stärken

Überblick über den jüngsten Sicherheitsvorfall

  • Am 8. November 2025 erkannte Mixpanel eine Smishing-Kampagne und aktivierte sofort den Incident-Response-Prozess
    • Es wurden Maßnahmen ergriffen, um unbefugten Zugriff zu blockieren und betroffene Benutzerkonten zu schützen
    • Externe Cybersecurity-Partner wurden eingebunden, um die Wiederherstellung und Reaktion auf den Vorfall zu unterstützen
  • Mixpanel hat alle betroffenen Kunden direkt kontaktiert und erklärt, dass Kunden, die keine Nachricht erhalten haben, nicht betroffen sind
  • Das Unternehmen bezeichnet Sicherheit als zentralen Wert und kündigt an, den Kundensupport und eine transparente Kommunikation fortzusetzen

Details zu den Gegenmaßnahmen

  • Schutz betroffener Konten sowie Widerruf aller aktiven Sitzungen und Logins
  • Austausch kompromittierter Zugangsdaten und Blockieren bösartiger IP-Adressen
  • Registrierung von IOCs (Indicators of Compromise) in der SIEM-Plattform, um die Bedrohungserkennung zu verbessern
  • Vollständiges Zurücksetzen der Passwörter aller Mitarbeiter
  • Beauftragung eines externen Forensik-Unternehmens zur Analyse der Ursache und Beratung zu Eindämmungsmaßnahmen
  • Forensische Prüfung von Authentifizierungs-, Sitzungs- und Datenexport-Logs
  • Einführung zusätzlicher Sicherheitskontrollen, um ähnliche Aktivitäten künftig zu erkennen und zu blockieren
  • Zusammenarbeit mit Strafverfolgungsbehörden und externen Sicherheitsberatern

Hinweise für Kunden

  • Kunden, die von Mixpanel kontaktiert wurden, erhalten Informationen zu Kontoschutzmaßnahmen und den nächsten Schritten
  • Kunden, die keine Nachricht erhalten haben, müssen nichts weiter unternehmen; ihr Konto war nicht betroffen
  • Anfragen können an support@mixpanel.com gerichtet werden

Stellungnahme des Unternehmens

  • Mixpanel bekräftigt nach diesem Vorfall sein Engagement für mehr Sicherheit und transparente Kommunikation
  • Der Schutz von Kundendaten bleibt ein Kernprinzip der Produkte und Services
  • Das Unternehmen plant, auch künftig die Incident-Response-Strukturen zu verbessern und die externe Zusammenarbeit auszubauen

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2025-11-29
Hacker-News-Kommentare

  • Mir gefällt die Formulierung dieses Beitrags überhaupt nicht.
    Es gibt keinerlei konkrete Zahlen oder Zeitangaben dazu, welches System betroffen war, welche Informationen offengelegt wurden und wie „proaktiv“ reagiert wurde.
    Im zitierten Artikel heißt es, „Mixpanel habe eine Smishing-Kampagne entdeckt“, aber wer betroffen war und wie groß das Ausmaß war, bleibt unklar.
    Es heißt außerdem, man habe „unbefugten Zugriff blockiert und Sicherheitsmaßnahmen ergriffen“ — also gab es eindeutig eine Kompromittierung, aber es wird nicht erwähnt, welche Konten oder Systeme betroffen waren.
    Dass „die Passwörter aller Mitarbeiter zurückgesetzt“ wurden, wirkt so, als habe man mit einem möglichen Abfluss interner Zugangsdaten gerechnet.

    • Wie wenn man einen „Familienunfall“ als „jüngsten Familienvorfall“ bezeichnet, wirkt der vage und defensive Ton dieses Textes unerquicklich.
      Auch der Satz „wir teilen dies im Sinne der Transparenz“ klingt wie ein unmenschliches Entschuldigungsschreiben à la „wir erstatten Ihnen aus Kulanz den Betrag“.
    • Die Mitteilung von OpenAI zum selben Vorfall war deutlich klarer und vertrauenswürdiger.
    • Es drängt sich die Frage auf, ob OpenAI mit der Offenlegung faktisch vorgelegt hat und Mixpanel nur noch notgedrungen nachziehen musste.
    • Auch die Veröffentlichung am Thanksgiving-Tag wirkt wie bewusst gewähltes Timing.
    • Ich habe selbst einen Tag zuvor von OpenAI eine deutlich informationsreichere Mitteilung erhalten.

  • Der Beitrag von Mixpanel wirkt im Vergleich zur Mitteilung von OpenAI viel dürftiger und intransparenter.
    Obwohl Mixpanel wohl über mehr Informationen verfügt, hat es deutlich weniger offengelegt.
    Das ist ein massiver Schlag für die Glaubwürdigkeit des Unternehmens.

    • Letztlich hat OpenAI Mixpanel sogar als Lieferanten ausgeschlossen.
      Die Formulierung „die Nutzung von Mixpanel eingestellt, da es unsere Sicherheits- und Datenschutzstandards nicht erfüllt“ ist eine sehr starke Aussage.
    • Cointracker soll fast zur gleichen Zeit eine ähnliche E-Mail verschickt haben. Vermutlich wurde eine gemeinsame Vorlage verwendet.

  • Enttäuschend ist, dass Mixpanel den Vorfall bereits am 8. November erkannt hat, ihn aber erst am Tag vor Thanksgiving bekanntgab.

    • Das wirkt wie ein Verstoß gegen die 72-Stunden-Meldepflicht der DSGVO.

  • Die Mitteilung von Mixpanel ist verwirrend.
    Obwohl ich das Konto bereits geschlossen hatte, erhielt ich eine „E-Mail zu einem Sicherheitsvorfall“.
    Es ist nicht ersichtlich, ob das geschlossene Konto betroffen war oder nicht.

    • Dass ein Konto geschlossen wurde, heißt nicht, dass die Daten sofort gelöscht werden.
      Wenn du eine E-Mail erhalten hast, ist es gut möglich, dass die Daten noch vorhanden waren.
    • Der Erhalt der E-Mail bedeutet nicht zwingend, dass man betroffen war.
      Mixpanel sagte, man habe „betroffene Kunden individuell kontaktiert“, also sollte man ohne separate Benachrichtigung davon ausgehen, nicht betroffen zu sein.
    • Wer in Europa lebt, könnte wegen der unterlassenen Löschung nach Kontoschließung sogar wegen eines Verstoßes gegen das DSGVO-„Recht auf Vergessenwerden“ klagen.

  • Es wird schon darüber gewitzelt, ob der Aktienkurs steigt, nur weil OpenAI Mixpanel genutzt hat.

    • Laut den OpenAI-FAQ ist Mixpanel jedoch bereits entfernt worden.
    • Auch in der an Nutzer versandten E-Mail stellt OpenAI klar, dass es Mixpanel nicht mehr verwendet.

  • Der Beitrag von Mixpanel taugt als Lehrbuchbeispiel für schlechte Krisenkommunikation.
    Die Mitteilung von OpenAI fasst den Vorfall sogar besser zusammen als Mixpanel selbst.
    Der Satz „die Nutzung von Mixpanel beendet, da es die Sicherheitsstandards eines Partners nicht erfüllt“ ist eine öffentliche Misstrauenserklärung gegenüber einem Lieferanten.

  • Den Begriff „Smishing“ habe ich zum ersten Mal gehört.
    Gemeint ist ein Phishing-Angriff per SMS, also der Versuch, über Textnachrichten persönliche Informationen abzugreifen.

    • Ein praktisches Beispiel wäre eine Social-Engineering-Nachricht wie: „Hier ist Josh von OpenAI, könntest du 2FA deaktivieren? Ich bin im Ausland und die Authentifizierung ist schwierig.“

  • Dieser Vorfall zeigt die Sicherheitslektion für 2025: „Der Lieferant ist die Angriffsfläche.“
    Wenn ein vertrauenswürdiger Vendor kompromittiert wird, werden in der Folge auch die Kundendaten dieses Vendors offengelegt.
    Gerade bei sensiblen Aufgaben sollte man die an Dritte weitergegebenen Daten minimieren.
    Anstelle des alten Modells „Vertrauen, aber prüfen“ braucht es heute eher den Ansatz: „Prüfen oder nicht teilen“.

  • Der Artikeltitel spricht von einem „Breach“, aber im Originaltext wird dieses Wort nicht verwendet.

    • „Security Incident“ ist wohl nur eine beschönigende Formulierung nach juristischer Beratung; aus dem Satz „unbefugten Zugriff blockiert“ geht bereits hervor, dass es eine Kompromittierung gab.
    • In der Mitteilung von OpenAI und der Mitteilung von CoinTracker steht übrigens ausdrücklich, dass Benutzername, E-Mail-Adresse und Standortdaten offengelegt wurden.
    • Der Beitrag von Mixpanel ist voller ausweichender Formulierungen, aber in der Sache handelt es sich eindeutig um eine Sicherheitsverletzung.

  • Dass diese wichtige Information unmittelbar vor einem Feiertagswochenende veröffentlicht wurde, wirkt zeitlich wie eine sehr kalkulierte Entscheidung.