Per què la gestió de la cadena de subministrament i la visibilitat sobre tercers són essencials el 2025
OpenAI ha confirmat aquesta setmana una bretxa de seguretat que no va passar en els seus sistemes , sinó en el proveïdor d’analítica Mixpanel.
Un atacant va aconseguir entrar a la infraestructura del proveïdor i va exportar dades com ara noms, correus electrònics i identificadors d’usuari vinculats a l’ús de l’API d’OpenAI.
Un mail enviat a alguns usuaris donava algunes pistes:
No s’han filtrat xats, claus d’API ni documents sensibles, però l’incident torna a posar en evidència un problema estructural:
La teva exposició al risc ja no depèn només de la teva seguretat interna, sinó de tots els proveïdors a qui envies dades.
I aquí és on Mixpanel ens dóna una lliçó important.
Primer de tot: què fa Mixpanel i per què pot exposar més del que creus?
Mixpanel és una plataforma d’analítica que monitoritza com es comporten els usuaris dins d’una aplicació : quines pantalles visiten, quins botons fan clic, quant triguen a completar un procés, on abandonen, etc.
Fins aquí, res estrany. El risc apareix en aquest detall clau:
Mixpanel només rep les dades que un programador decideix enviar des de l’aplicació.
Això vol dir que:
1️ El programador pot enviar dades de més
Encara que per a analítica només cal un identificador tècnic, no és estrany trobar noms, correus electrònics, ubicacions, i fins i tot dades innecessàries que violen el principi de minimització del RGPD .
2️ Es barregen esdeveniments de comportament amb dades personals
Una mala pràctica que converteix una analítica innòcua en un dataset sensible.
3️ Moltes empreses no tenen inventariat quines dades surten realment
La documentació sol estar desactualitzada:
quins esdeveniments s’envien? Quins camps porten? Inclouen PII? S’ha revisat després de cada canvi de codi?
4️ Cada modificació al codi pot introduir nous riscos sense supervisió
Un desenvolupador pot afegir un esdeveniment que envia més dades de les previstes… i ningú de seguretat o privadesa ho detecta.
🔍 Conseqüència directa
Quan un proveïdor com Mixpanel pateix una bretxa,
les dades exposades seran exactament les que tu vas enviar , encara que mai hagueren de sortir.
Aquí hi ha el cor del problema: sense visibilitat sobre el que comparteixes amb tercers, no pots avaluar ni gestionar el teu risc real.
Lliçons del cas Mixpanel–OpenAI
D’aquest incident en surten tres aprenentatges universals:
✔️ Cap organització està realment aïllada
Fins i tot un proveïdor legítim i verificat es pot convertir en la teva anella més feble.
✔️ Minimitzar i controlar les dades que entregues a tercers no és opcional
És una exigència del RGPD, però també una qüestió de supervivència operativa.
✔️ La cadena de subministrament és un vector d’atac prioritari
NIS2, ISO 27001, ENS, SOC2 i DORA ho han elevat a un requisit central.
I la conclusió és inevitable:
necessitem eines que donin visibilitat, control i capacitat de resposta.
Dues eines essencials per al món actual
Per gestionar aquest ecosistema complex han sorgit dues peces fonamentals:
el Trust Center i el Breach Manager .
Què és un Trust Center?
Un Trust Center és el punt central on una organització documenta i comunica:
- quins proveïdors utilitza,
- quines dades manegen,
- quines garanties de seguretat ofereixen,
- com gestiona la privadesa,
- quines certificacions té,
- i quina és la seva posició de compliment.
És una eina de transparència, ordre i control , tant per a ús intern com extern.
En essència:
Un Trust Center converteix un ecosistema dispers de proveïdors en un sistema governat i verificable.
Permet saber:
- qui té accés a les teves dades,
- per quin motiu,
- durant quant de temps,
- sota quines mesures de seguretat,
- i quin impacte regulatori té.
Què és un Breach Manager?
Un Breach Manager és l’eina que permet gestionar de manera estructurada qualsevol incident de seguretat , ja sigui propi o d’un proveïdor.
Funcions clau:
- registrar alertes o sospites,
- coordinar la investigació,
- centralitzar evidències,
- avaluar l’impacte,
- determinar obligacions legals (RGPD: 72h),
- documentar tot el procés per a auditories.
El seu propòsit:
Que una escletxa no es converteixi en una crisi, i que tota l’organització sàpiga què fer, quan i com.
Trust Center + Breach Manager: la resposta a un món hiperconnectat
El cas Mixpanel–OpenAI deixa clar que:
- no es pot protegir allò que no es coneix,
- no es pot confiar en allò que no es documenta,
- no es pot actuar sense un procés definit,
- i no es pot externalitzar sense mecanismes de control.
Per això, les organitzacions modernes necessiten:
✔️ Un Trust Center per saber qui té què i per què
✔️ Un Breach Manager per saber què fer quan alguna cosa falla
Junts permeten:
- veure la teva cadena de subministrament,
- controlar les teves dades,
- reduir riscos,
- i respondre amb precisió davant d’incidents.
A ithiki us ajudem les organitzacions a prevenir, controlar i actuar amb rapidesa davant de qualsevol risc de tercers. El nostre Trust Center aporta visibilitat i ordre a tota la cadena de subministrament, i el nostre Breach Manager permet gestionar incidents de manera estructurada, documentada i dins dels terminis legals.
Perquè en un món on la seguretat també depèn dels teus proveïdors, tenir control i capacitat de reacció ja no és opcional: és imprescindible.
