Rabbit і хактивісти: витік API-ключів ставить під загрозу безпеку компанії
Цього червня компанія Rabbit, відома своїми пристроями з ШІ, потрапила у скандал через витік внутрішнього коду. Компанія заявила, що цей інцидент був “ізольованим” і не пов’язаний з порушенням їх систем безпеки. Однак виявилось, що витік стався через співробітника, який передав код стороннім особам, що призвело до компрометації кількох систем Rabbit. Про це повідомляє 404 Media.
Також цікаво: Виявляється, Rabbit R1 весь цей час був просто додатком для Android
За інформацією компанії, минулого місяця (в червні) один з їхніх співробітників, якого вже звільнено, передав API-ключі групі, що називає себе “хактивістами”. Ця група опублікувала статтю, заявивши, що має доступ до внутрішнього коду компанії та деяких API-ключів. Rabbit швидко анулювала та змінила ці ключі, а також перемістила додаткові секрети в AWS Secrets Manager.
Попри запевнення компанії, що їх системи безпеки працюють як належить, критики відзначають, що сама наявність таких ключів у коді – це погана практика. Витік інформації через співробітника свідчить про іншу загрозу – інсайдерські атаки, які можуть бути не менш небезпечними, ніж зовнішні.
Інцидент Rabbit нагадує про інші випадки, коли інсайдери зловживали своїм доступом. Наприклад, співробітники Twitter збирали дані користувачів для Саудівської Аравії, а колишній працівник Cash App викрав інформацію про понад 8 мільйонів клієнтів. Такі випадки показують, що інсайдерські загрози є реальною проблемою для компаній.
Дослідники з групи Rabbitude, які отримали доступ до ключів Rabbit, стверджують, що їх метою було викриття вразливості, а не завдання шкоди. Одна з них, Емілі, пояснила, що компанія повинна була спочатку запобігти такому витоку, не зберігаючи ключі у коді.
Rabbit зазначила, що після інциденту найняла компанію Obscurity Labs для проведення тестування на проникнення. За словами Rabbit, результати показали, що жоден важливий код або конфіденційна інформація не були доступні зловмисникам.
Попри проведене тестування, реакція Rabbit на цей інцидент не вселяє довіри. Компанія спочатку заперечувала наявність порушення, потім звинувачувала звільненого співробітника і нарешті заявила, що інцидент не є наслідком проблем з їх системами безпеки. Це викликає сумніви у здатності компанії забезпечити надійний захист своїх даних.
