Braintrust Призывает Клиентов Обновить API-Ключи После Утечки
Взлом Облачного Аккаунта Amazon Web Services Компании
Стартап Braintrust, специализирующийся на оценивании AI, обратился к своим клиентам с рекомендацией заменить и обновить свои API-ключи после недавней утечки секретной информации. Согласно электронной почте, разосланной клиентам в понедельник и доступной TechCrunch, компания подтвердила факт «несанкционированного доступа» в один из своих облачных аккаунтов Amazon Web Services. Этот аккаунт содержал API-ключи, используемые клиентами для доступа к моделям искусственного интеллекта на облачной платформе.
В письме уточняется, что «один клиент был проинформирован о происшествии, и на данный момент нет данных о более масштабном распространении информации». Компания попросила «каждого клиента обновить» любые API-ключи, которые они хранят в системе Braintrust.
Braintrust также сообщил о данной инциденте на своем веб-сайте во вторник, сообщив: «Инцидент был локализован, временно заморожен скомпрометированный аккаунт, проведен аудит и ограничен доступ к связанным системам, и обновлены внутренние секреты.» Причины утечки расследуются.
Представитель компании Мартин Бергман отметил, что данное уведомление разослано клиентам «из большого количества предосторожности» и подтвердил наличие инцидента безопасности, но подчеркнул, что «на данный момент нет доказательств взлома».
Braintrust предоставляет платформу для мониторинга моделей и продуктов искусственного интеллекта. Основатель и генеральный директор Анкур Гоял ранее описывал Braintrust как «операционную систему для инженеров, создающих программное обеспечение AI». В феврале компания привлекла $80 миллионов в рамках финансирования серии B, оценив её в $800 миллионов.
Соучредитель стартапа по кибербезопасности Nudge Security, Хайме Бласко, сообщил TechCrunch, что инцидент может иметь «последствия для клиентов», таких как AI-компании, зависящие от Braintrust.
Хакеры часто нацеливаются на корпоративные аккаунты в облачных сервисах или сторонних платформах, чтобы украсть секреты, такие как API-ключи. Получив доступ к ключам, злоумышленники могут войти в системы компаний или их клиентов под видом легитимных пользователей, не взламывая при этом непосредственно системы целевых компаний.
Компания CircleCI, предоставляющая разработки для инженеров, столкнулась с аналогичной утечкой облачных данных в 2023 году и также попросила своих клиентов обновить «любые и все секреты», хранящиеся в компании.
