Porque é que a gestão da cadeia de abastecimento e a visibilidade de terceiros são essenciais em 2025
A OpenAI confirmou esta semana uma violação de segurança que não ocorreu nos seus sistemas, mas no seu fornecedor de análises Mixpanel.
Um atacante conseguiu entrar na infraestrutura do fornecedor e exportou dados como nomes, e-mails e IDs de utilizadores ligados à utilização da API OpenAI.
Um e-mail enviado a alguns utilizadores dá algumas pistas:
Não houve fugas de conversas, chaves API ou documentos sensíveis, mas o incidente volta a evidenciar um problema estrutural:
A tua exposição ao risco já não depende apenas da tua segurança interna, mas de todos os fornecedores a quem envias dados.
E é aqui que o Mixpanel nos ensina uma lição importante.
Em primeiro lugar: o que faz o Mixpanel e porque é que pode expor mais do que pensas?
O Mixpanel é uma plataforma de análise que monitoriza o comportamento dos utilizadores numa aplicação: que ecrãs visitam, que botões premem, quanto tempo demoram a concluir um processo, onde abandonam, etc.
Até agora, nada de anormal. O risco surge neste pormenor fundamental:
Mixpanel só recebe os dados que um programador decide enviar da aplicação.
Isto significa que:
1️ O programador pode enviar dados de mais de
Embora apenas seja necessário um identificador técnico para a análise, não é invulgar encontrar nomes, e-mails, localizações e até dados desnecessários que violam o princípio de minimização do RGPD.
2️ Os eventos comportamentais são misturados com dados pessoais
Uma má prática que transforma uma análise inócua num conjunto de dados sensíveis.
3️ Muitas empresas não têm um inventário dos dados que estão realmente a sair
A documentação está frequentemente desactualizada:
que eventos são enviados, que campos contêm, se incluem informações de identificação pessoal, se foram revistos após cada alteração de código?
4️ Cada alteração no código pode introduzir novos riscos sem supervisão.
Um programador pode adicionar um evento que envia mais dados do que o esperado… e ninguém da segurança ou da privacidade o detecta.
🔍 Consequência direta
Quando um fornecedor como o Mixpanel sofre uma violação,
os dados expostos serão exatamente os que enviaste, mesmo que nunca devessem ter sido divulgados.
É aqui que reside o cerne do problema: sem visibilidade sobre o que partilhas com terceiros, não podes avaliar e gerir o teu risco real.
Lições do caso Mixpanel-OpenAI
Deste incidente resultam três lições universais:
✔️ Nenhuma organização está verdadeiramente isolada
Mesmo um fornecedor legítimo e verificado pode tornar-se o teu elo mais fraco.
✔️ Minimizar e controlar os dados que forneces a terceiros não é opcional.
Trata-se de um requisito do RGPD, mas também de uma questão de sobrevivência operacional.
✔️ A cadeia de abastecimento é um vetor de ataque prioritário
NIS2, ISO 27001, ENS, SOC2 e DORA elevaram-no a um requisito essencial.
E a conclusão é inevitável:
precisamos de ferramentas que dêem visibilidade, controlo e capacidade de resposta.
Duas ferramentas essenciais para o mundo atual
Para gerir este ecossistema complexo, surgiram duas peças fundamentais:
o Trust Centre e o Breach Manager.
O que é um Centro de Confiança?
Um Centro de Confiança é o ponto central onde uma organização documenta e comunica:
- a que fornecedores recorre,
- os dados que tratam,
- quais as garantias de segurança que oferecem,
- como gere a privacidade,
- quais as certificações que possui,
- e qual é a sua posição em matéria de conformidade.
É um instrumento de transparência, de ordem e de controlo, tanto para uso interno como externo.
Em suma:
Um Centro de Confiança converte um ecossistema disperso de fornecedores num sistema governado e verificável.
Informa-te:
- quem tem acesso aos teus dados,
- por que razão,
- durante quanto tempo,
- e com que medidas de segurança,
- e qual o seu impacto regulamentar.
O que é um gestor de violações?
Um gestor de violações é a ferramenta para gerir de forma estruturada qualquer incidente de segurança, quer se trate do teu próprio incidente ou do incidente de um fornecedor.
Funções-chave:
- regista alertas ou suspeitas,
- coordena a investigação,
- centraliza as provas,
- avaliação do impacto,
- determina as obrigações legais (RGPD: 72h),
- documenta todo o processo para efeitos de auditoria.
O seu objetivo:
Para que uma lacuna não se transforme numa crise e para que toda a organização saiba o que fazer, quando e como.
Trust Center + Breach Manager: a resposta para um mundo hiperconectado
O caso Mixpanel-OpenAI deixa claro que:
- não podes proteger o que não conheces,
- não se pode confiar no que não está documentado,
- não se pode atuar sem um processo definido,
- e não pode ser subcontratada sem mecanismos de controlo.
É por isso que as organizações modernas precisam:
✔️ Um Centro de Confiança para saberes quem tem o quê e porquê
✔️ Um gestor de violações para saber o que fazer quando algo corre mal
Juntos, eles permitem:
- vê a tua cadeia de abastecimento,
- controla os teus dados,
- redução dos riscos,
- e responde com precisão aos incidentes.
Na ithikios, ajudamos as organizações a prevenir, controlar e agir rapidamente face a qualquer risco de terceiros. O nosso Centro de Confiança traz visibilidade e ordem a toda a cadeia de fornecimento, e o nosso Breach Manager permite-te gerir os incidentes de forma estruturada, documentada e atempada.
Porque num mundo onde a segurança também depende dos teus fornecedores, estar no controlo e ser reativo já não é opcional: é essencial.
