AI‑стартап Braintrust информировал своих клиентов о необходимости отозвать и заменить API‑ключи после обнаружения утечки конфиденциальных данных.
В электронном письме, которое компания разослала клиентам в понедельник и которое было подтверждено TechCrunch, сообщалось о «неавторизованном доступе» к одной из учетных записей Amazon Web Services (AWS). В этой учетной записи хранились API‑ключи, позволяющие клиентам обращаться к облачным AI‑моделям.
«Мы связались с одним пострадавшим клиентом и на данный момент не обнаружили признаков более широкого раскрытия информации», – говорится в письме.
В письме также настоятельно просили всех клиентов «провести ротацию» любых API‑ключей, сохранённых в Braintrust.
Компания опубликовала детали инцидента на своем сайте во вторник, отметив, что «инцидент локализован, скомпрометированная учетная запись закрыта, проведен аудит и ограничен доступ к связанным системам, а внутренние секреты заменены». Причина утечки находится в стадии расследования.
Пресс‑связь Braintrust, Мартин Бергман, пояснил TechCrunch, что уведомление было отправлено «в качестве меры предосторожности» и что «на данный момент нет доказательств фактического нарушения».
Braintrust предлагает платформу, позволяющую компаниям контролировать AI‑модели и продукты. Основатель и CEO Анкур Гойал ранее описывал сервис как «операционную систему для инженеров, разрабатывающих AI‑программное обеспечение». В феврале компания привлекла $80 млн в рамках серии B, что оценило её стоимость в $800 млн.
Со‑основатель кибер‑стартапа Nudge Security, Хайме Бласко, получивший письмо‑уведомление от Braintrust, отметил, что инцидент может иметь «последствия для клиентов», в частности для AI‑компаний, использующих сервис.
Хакеры часто нацеливаются на корпоративные облачные аккаунты и сторонние платформы, чтобы украсть секреты, такие как API‑ключи. Обладатели ключей могут входить в системы компаний, маскируясь под легитимных пользователей, без необходимости взламывать инфраструктуру.
Подобные случаи уже имели место: в 2023 году компания CircleCI, предоставляющая инструменты разработки, столкнулась с аналогичной утечкой и попросила клиентов сменить все сохранённые секреты. Недавно агентство кибербезопасности ЕС сообщило о краже 92 ГБ данных из скомпрометированной AWS‑учётной записи Европейской комиссии, что затронуло 29 европейских организаций и данные множества внутренних клиентов.
*Признаны экстремистскими организациями и запрещены на территории РФ.
