Um grupo descobriu que chaves de API estavam codificadas diretamente na base de código da empresa, uma prática amplamente considerada uma grande falha de segurança.
Essa vulnerabilidade potencialmente expôs dados sensíveis dos usuários, levantando sérias preocupações sobre as medidas de segurança implementadas para tecnologias impulsionadas por IA.
De acordo com um relatório da 404 Media, a violação foi identificada por uma equipe de pesquisadores de segurança cibernética que demonstraram a falha enviando um e-mail para a publicação, posando como administradores do sistema Rabbit AI.
Este ato destacou a facilidade com que atores maliciosos poderiam explorar a vulnerabilidade para obter acesso não autorizado aos dados dos usuários.
Essas chaves forneciam acesso a contas do Rabbit com serviços de terceiros, incluindo seu fornecedor de conversão de texto em fala ElevenLabs e sua conta SendGrid, usada para enviar e-mails do domínio rabbit.tech.
De acordo com a Rabbitude, o acesso a essas chaves de API, particularmente a API do ElevenLabs, significava que poderiam acessar todas as respostas já fornecidas por dispositivos R1.
Essa violação de privacidade é alarmante, pois expõe dados sensíveis dos usuários a um potencial uso indevido.
Essa falha de segurança levanta sérias preocupações sobre a privacidade e a proteção de dados dos usuários do Rabbit R1. Com acesso administrativo, atores maliciosos poderiam potencialmente:
- Acessar informações pessoais dos usuários
- Manipular configurações do dispositivo
- Interceptar ou alterar comunicações
- Obter insights sobre o comportamento e preferências dos usuários
A Rabbitude publicou um artigo ontem detalhando suas descobertas, afirmando que tiveram acesso às chaves há mais de um mês.
Resposta da Rabbit e Investigação em Andamento
O porta-voz da empresa, Ryan Fenwick, declarou que a empresa está investigando o incidente e fornecerá atualizações assim que estiverem disponíveis.
A declaração no site ecoa uma postagem que a Rabbit fez em seu canal no Discord, alegando que ainda não encontraram qualquer comprometimento de seus sistemas críticos ou da segurança dos dados dos clientes.
No entanto, o relatório da Rabbitude sugere o contrário. O grupo mencionou que, embora o acesso à maioria das chaves tenha sido revogado, indicando que a Rabbit as rotacionou, ainda tinham acesso à chave do SendGrid.
Essa vulnerabilidade persistente levanta questões sobre a eficácia e a pontualidade da resposta da Rabbit à violação.
Essa violação de segurança ocorre em um momento particularmente inoportuno para a Rabbit, já que o dispositivo R1 já enfrentou críticas por desempenho abaixo do esperado desde seu lançamento no início deste ano.
Os usuários relataram problemas com a vida útil da bateria, recursos limitados e imprecisões nas respostas geradas pela IA. Embora a Rabbit tenha abordado algumas dessas preocupações através de atualizações de software, este incidente de segurança pode erodir ainda mais a confiança do público na empresa e em seus produtos.
À medida que a investigação continua, os usuários do Rabbit R1 são aconselhados a ficar atentos a qualquer comunicação da empresa sobre segurança de dados e a considerar a mudança de senhas para quaisquer contas associadas ao seu dispositivo R1.
A resposta da Rabbit à violação foi criticada pela falta de imediatismo e eficácia.
Enquanto a empresa trabalha para resolver esses problemas, também deve lidar com o desafio mais amplo de restaurar a confiança do público em seus produtos e serviços.