Співробітник компанії Rabbit, яка створила девайс на базі штучного інтелекту Rabbit R1, надав хакерам доступ до API продукту. Це дозволило їм читати промпти користувачів та фактично видавати себе за сервіс, надсилаючи повідомлення з поштового сервера компанії. Про це пише Gizmodo.
У червні 2024 року команда хакерів, які називають себе Rabbitude, опублікувала звіт, в якому стверджувалося, що вони отримали доступ до великої частини внутрішньої кодової бази Rabbit.
Вони заволоділи ключем для сервісу перетворення тексту в голос ElevenLabs, який дозволив їм переглядати всі минулі текстові повідомлення користувачів. Спершу Rabbit заперечував проблему, але згодом змінив свої API-ключі.
"У червні співробітник (якого звільнили після цього випадку) злив ключі API самопроголошеній групі "хактивістів", яка написала статтю, в якій стверджувала, що має доступ до внутрішнього вихідного коду Rabbit і деяких ключів API. Rabbit негайно відкликав і змінив ці ключі API, а також перемістив додаткові секрети в AWS Secrets Manager", – пише представник Rabbit.
Хакери стверджують, що злом відбувся ще у травні 2024 року та Rabbit було відомо про це. Але компанія вирішила ігнорувати проблему, поки Rabbitude не опублікували свою статтю наступного місяця.
Щоб довести, що хакери дійсно мають доступ до ключів компанії, один із членів Rabbitude надіслав медіа Gizmodo електронного листа з внутрішнього поштового сервера Rabbit.
Rabbitude заявляє, що проблема не в тому, що вони заволоділи конфіденційними даними користувачів Rabbit R1, а в тому, що будь-хто з команди Rabbit має доступ до цієї інформації. Компанія не повинна була зашивати свої ключі API в код, це дозволило занадто великій кількості людей отримати внутрішній доступ.