Стартап із оцінювання ШІ Braintrust закликав клієнтів відкликати та замінити свої API-ключі після нещодавнього витоку конфіденційних даних.
У листі до клієнтів, який TechCrunch отримав у понеділок, компанія підтвердила «несанкціонований доступ» до одного зі своїх облікових записів у хмарі Amazon Web Services (AWS). У цьому акаунті зберігалися API-ключі, які клієнти використовують для доступу до хмарних моделей штучного інтелекту.
«Ми зв’язалися з одним постраждалим клієнтом і на сьогодні не виявили доказів ширшого витоку», — йдеться в електронному листі.
Водночас у повідомленні компанія попросила «кожного клієнта обов’язково змінити» всі API-ключі, які вони зберігають у Braintrust.
Про інцидент безпеки Braintrust поінформував і на своєму сайті у вівторок. «Інцидент локалізовано, а тим часом ми заблокували скомпрометований обліковий запис, провели аудит і обмежили доступ у пов’язаних системах, а також змінили внутрішні секрети», — заявили в компанії.
Причини витоку наразі з’ясовуються.
Речник Braintrust Мартін Бергман повідомив TechCrunch, що лист клієнтам було розіслано «з міркувань надмірної обережності» та що компанія «підтвердила інцидент безпеки, але наразі немає доказів масштабного зламу».
Braintrust надає платформу, призначену для моніторингу моделей та продуктів на базі ШІ для корпоративних клієнтів. Засновник і CEO компанії Анкур Гоял раніше казав TechCrunch, що Braintrust — це «операційна система для інженерів, які створюють ПЗ зі штучним інтелектом». У лютому стартап залучив 80 млн доларів у раунді інвестицій серії B, що оцінило компанію в 800 млн доларів.
Співзасновник кібербезпекового стартапу Nudge Security Хайме Бласко, який отримав лист-попередження про витік від Braintrust, зазначив у коментарі TechCrunch, що інцидент може мати «ланцюгові наслідки для постраждалих клієнтів», зокрема для компаній у сфері ШІ, які покладаються на Braintrust.
Хакери часто атакують корпоративні акаунти в хмарних сервісах чи на сторонніх платформах, адже це ефективний спосіб викрадення секретів, зокрема API-ключів. Отримавши такі ключі, зловмисники можуть входити до систем компанії або її клієнтів як нібито легальні користувачі, не зламуючи безпосередньо інфраструктуру цільової організації.
У 2023 році подібний хмарний витік даних стався в CircleCI, компанії, що надає інструменти для розробників. Тоді CircleCI так само закликала клієнтів змінити «усі без винятку секрети», які вони зберігали в сервісі.