Apple kiện cựu nhân viên vì khai thác lỗ hổng zero-day để đánh cắp dữ liệu mật
Apple vừa đệ đơn kiện OpenAI và một cựu kỹ sư của hãng, cáo buộc người này đã tận dụng một lỗ hổng zero-day chưa từng được biết đến để truy cập trái phép vào hệ thống lưu trữ nội bộ sau khi đã nghỉ...
Apple đã chính thức đệ đơn kiện OpenAI với cáo buộc đánh cắp bí mật thương mại và thu thập thông tin độc quyền thông qua việc tuyển dụng các cựu nhân viên của hãng. Đáng chú ý, trong hồ sơ vụ kiện, Apple tiết lộ rằng một cựu kỹ sư điện hệ thống tên là Chang Liu đã khai thác một lỗ hổng bảo mật nghiêm trọng để truy cập vào các thư mục mạng dùng chung của công ty sau khi đã chuyển sang làm việc cho OpenAI.
Theo Apple, lỗ hổng này được phân loại là zero-day, cho phép đối tượng vượt qua các rào cản xác thực để thâm nhập vào hệ thống. Apple khẳng định họ đã kịp thời vá lỗi và thu hồi quyền truy cập ngay khi phát hiện hành vi xâm nhập. Dựa trên nhật ký máy chủ (server logs), công ty cho biết chỉ có Liu khai thác lỗ hổng này, dù nó có khả năng ảnh hưởng đến một số người dùng khác.
Hồ sơ vụ kiện nêu rõ, trong nhiều tuần sau khi rời Apple, Liu đã tải xuống hàng chục tệp tin mật liên quan đến phần cứng, bao gồm các thông số kỹ thuật, tài liệu dự án và bản thuyết trình kỹ thuật về các sản phẩm chưa ra mắt. Apple cáo buộc Liu không chỉ giữ lại máy tính xách tay do công ty cấp mà còn lợi dụng quyền truy cập của một đồng nghiệp cũ là Yu-Ting Peng (người sau đó cũng chuyển sang OpenAI) để tiếp tục duy trì kết nối với hệ thống lưu trữ đám mây của Apple.
Đáng chú ý, trong các đoạn tin nhắn được trích dẫn, Liu đã bày tỏ sự ngạc nhiên khi vẫn có thể truy cập vào kho lưu trữ mạng của Apple sau khi nghỉ việc. Thay vì báo cáo lỗ hổng theo nghĩa vụ hợp đồng, đối tượng này đã tiếp tục khai thác nó để lấy dữ liệu. Mặc dù Apple không mô tả chi tiết kỹ thuật về lỗ hổng xác thực này, nhưng các chuyên gia cho rằng đây có thể là một điểm yếu trong quy trình đăng nhập hoặc sai sót trong việc thu hồi quyền truy cập (decommissioning) đối với nhân viên đã nghỉ việc.
Vụ kiện hiện đang được thụ lý tại Tòa án Quận Bắc California. Phía OpenAI cho biết họ không quan tâm đến bí mật thương mại của các công ty khác. Sự việc này một lần nữa gióng lên hồi chuông cảnh báo cho các doanh nghiệp về thách thức trong việc bảo mật dữ liệu và quản lý quyền truy cập của nhân sự sau khi rời khỏi tổ chức.
Nguồn tham khảo: TechCrunch



No Comment! Be the first one.