Incident de sécurité chez Mixpanel

 (mixpanel.com)
1 points par GN⁺ 2025-11-29 | 1 commentaires | Partager sur WhatsApp
  • Le 8 novembre 2025, Mixpanel a détecté une attaque de smishing ayant affecté certains clients et a immédiatement déclenché ses procédures de réponse
  • L’entreprise a mis en œuvre des mesures complètes, notamment le blocage des accès non autorisés, la protection des comptes touchés et la collaboration avec des partenaires externes en cybersécurité
  • Les mesures de réponse comprennent la fin des sessions, le remplacement des identifiants, le blocage des IP malveillantes et la réinitialisation complète des mots de passe des employés
  • Mixpanel a directement informé les clients concernés et précise que les utilisateurs n’ayant reçu aucun contact n’ont pas été affectés
  • À la suite de cet incident, l’entreprise fait de nouveau du renforcement de la sécurité et de la transparence une priorité absolue

Aperçu du récent incident de sécurité

  • Le 8 novembre 2025, Mixpanel a détecté une campagne de smishing et a immédiatement activé son processus de réponse à incident
    • Mise en place de mesures pour bloquer les accès non autorisés et protéger les comptes utilisateurs affectés
    • Mobilisation de partenaires externes en cybersécurité pour la remédiation et la réponse à l’incident
  • Mixpanel a directement contacté tous les clients concernés et précise que les clients n’ayant pas été contactés n’ont subi aucun impact
  • L’entreprise indique que la sécurité est une valeur fondamentale et qu’elle poursuivra son support client ainsi qu’une communication transparente

Détail des mesures de réponse

  • Protection des comptes affectés et révocation de toutes les sessions actives et connexions
  • Remplacement des identifiants compromis et blocage des adresses IP malveillantes
  • Enregistrement des IOC (Indicators of Compromise) dans la plateforme SIEM afin de renforcer la détection des menaces
  • Réinitialisation complète des mots de passe de tous les employés
  • Recours à une société externe de forensic pour analyser la cause de l’incident et conseiller les mesures de confinement
  • Examen forensic des logs d’authentification, de session et d’export de données
  • Mise en place de contrôles de sécurité supplémentaires pour détecter et bloquer des activités similaires à l’avenir
  • Coopération avec les autorités compétentes et des conseillers externes en sécurité

Informations destinées aux clients

  • Les clients contactés par Mixpanel ont reçu des indications sur les mesures de protection de leur compte et les prochaines étapes
  • Les clients n’ayant reçu aucun contact n’ont aucune mesure particulière à prendre et leur compte n’a pas été affecté
  • Les demandes peuvent être adressées à support@mixpanel.com

Position de l’entreprise

  • Mixpanel réaffirme, à la suite de cet incident, son engagement en faveur du renforcement de la sécurité et d’une communication transparente
  • La protection des données clients restera un principe central de ses produits et services
  • L’entreprise prévoit de poursuivre l’amélioration de son dispositif de réponse aux incidents de sécurité ainsi que l’élargissement de sa coopération externe

À lire aussi

1 commentaires

 
GN⁺ 2025-11-29
Avis Hacker News

  • Je n’aime vraiment pas la manière dont ce texte est formulé
    Il n’y a absolument aucun chiffre ni calendrier précis sur le système qui a été compromis, les informations qui ont été exposées, ni sur le degré de réponse « proactive »
    La citation de l’article dit que « Mixpanel a détecté une campagne de smishing », mais on ne sait pas qui était visé ni quelle en était l’ampleur
    Ils disent avoir « bloqué l’accès non autorisé et pris des mesures de sécurité », donc il y a clairement eu une compromission, mais sans préciser quels comptes ou systèmes étaient concernés
    Le fait d’avoir procédé à une réinitialisation des mots de passe de tous les employés laisse penser qu’ils anticipaient une possible fuite d’identifiants

    • Comme lorsqu’on parle d’un « accident familial » en disant un « récent événement familial », le ton vague et défensif de ce texte est désagréable
      La phrase « nous partageons cela par souci de transparence » sonne aussi comme une lettre d’excuses déshumanisée, du genre « nous vous remboursons à titre de geste commercial »
    • L’annonce d’OpenAI sur le même incident était bien plus claire et inspirait davantage confiance
    • On peut se demander si OpenAI n’a pas, en pratique, communiqué en premier, forçant Mixpanel à publier à son tour faute de mieux
    • Le fait d’avoir annoncé cela le jour de Thanksgiving semble aussi être un choix de timing délibéré
    • J’ai moi-même reçu la veille une notification bien plus riche en informations de la part d’OpenAI

  • Le billet de Mixpanel paraît beaucoup plus pauvre et opaque que l’annonce d’OpenAI
    Mixpanel doit pourtant disposer de davantage d’informations, mais en divulgue bien moins
    C’est quelque chose qui porte gravement atteinte à la crédibilité de l’entreprise

    • Au final, OpenAI a effectivement écarté Mixpanel de ses fournisseurs
      La formule « nous avons cessé d’utiliser Mixpanel car il ne répondait pas à nos standards de sécurité et de confidentialité » est un message extrêmement fort
    • Cointracker aurait aussi envoyé un e-mail similaire quasiment au même moment. Ils ont sans doute utilisé un modèle commun

  • Mixpanel a pris connaissance de l’incident le 8 novembre, et n’a communiqué que la veille de Thanksgiving, ce qui est décevant

    • Cela semble constituer une violation du délai de notification de 72 heures du RGPD

  • L’annonce de Mixpanel est déroutante
    J’ai reçu un « e-mail lié à un incident de sécurité » alors que j’avais déjà fermé mon compte
    Impossible de savoir si le compte fermé a été affecté ou non

    • Fermer un compte ne signifie pas que les données sont supprimées immédiatement
      Si vous avez reçu l’e-mail, il est fort possible que les données existaient encore
    • Recevoir l’e-mail ne signifie pas forcément que vous avez été touché
      Mixpanel a dit avoir « contacté individuellement les clients affectés », donc s’il n’y a pas eu de notification séparée, il faut supposer que vous êtes en sécurité
    • Si vous résidez en Europe, vous pourriez aussi engager une action pour violation du “droit à l’oubli” du RGPD si les données n’ont pas été supprimées après la fermeture du compte

  • On en est au point où certains plaisantent en demandant si le cours de l’action va monter simplement parce qu’OpenAI utilisait Mixpanel

    • Mais la FAQ d’OpenAI indique clairement que Mixpanel a déjà été retiré
    • Dans l’e-mail envoyé aux utilisateurs aussi, OpenAI précise explicitement qu’il n’utilise plus Mixpanel

  • Le texte de Mixpanel mérite de figurer dans les manuels comme un mauvais exemple de gestion de crise
    L’annonce d’OpenAI résume en réalité mieux l’incident que Mixpanel lui-même
    La phrase « nous avons mis fin à l’utilisation de Mixpanel car il ne respectait pas les standards de sécurité de notre partenaire » revient à une déclaration publique de défiance envers un fournisseur

  • C’est la première fois que j’entends le terme « smishing »
    Il s’agit de phishing par SMS, une méthode qui consiste à voler des informations personnelles au moyen de messages texte

    • Exemple concret : un message d’ingénierie sociale du type « C’est Josh de chez OpenAI, tu peux désactiver la 2FA ? Je suis à l’étranger et j’ai du mal à m’authentifier »

  • Cet incident illustre bien la leçon sécurité de 2025 : « le fournisseur est lui-même une surface d’attaque »
    Quand un vendeur de confiance est compromis, les données de ses clients peuvent être exposées en cascade
    Plus une opération est sensible, plus il faut minimiser les données partagées avec des tiers
    Au lieu de l’ancien modèle « faire confiance, mais vérifier », il faut désormais une approche du type « vérifier, ou ne pas partager »

  • Le titre de l’article parle de « breach », mais le texte original n’emploie pas ce terme

    • « Security incident » n’est qu’un euphémisme validé par les juristes ; la formulation « nous avons bloqué un accès non autorisé » suffit déjà à montrer qu’il y a bien eu compromission
    • À titre de référence, l’annonce d’OpenAI et celle de CoinTracker précisent que des noms d’utilisateur, adresses e-mail et données de localisation ont été exposés
    • Le texte de Mixpanel est rempli de formulations d’évitement, mais en substance il s’agit clairement d’une compromission

  • Divulguer une information aussi importante juste avant un week-end férié ressemble beaucoup à un choix de timing très calculé