Обвиняя OpenAI в краже секретов о ещё не выпущенных продуктах Apple, компания Apple раскрыла, что бывший сотрудник якобы выкачал огромные объёмы конфиденциальных файлов из общедоступных сетевых папок компании спустя несколько недель после того, как уволился из Apple и устроился в OpenAI.
В своей жалобе Apple утверждает, что бывший сотрудник, инженер-системотехник по имени Чан Лю, якобы «использовал редкую, ранее неизвестную ошибку аутентификации», которая позволяла получить доступ к сети компании. Эта ошибка классифицируется как уязвимость нулевого дня, то есть у Apple не было времени её исправить до того, как её якобы применили.
Apple с тех пор исправила эту ошибку и заявила, что отозвала доступ сотрудника, как только узнала об этом «нарушении безопасности». В своей жалобе Apple указала, что из-за ошибки доступ к данным в её сети могло получить «ещё несколько» человек, однако, согласно проверке серверных журналов, только Лю воспользовался этой ошибкой, чтобы украсть конфиденциальную информацию Apple, уже не являясь сотрудником.
Это раскрытие, хоть и небогатое на детали, подчёркивает сложности, с которыми сталкиваются организации при защите конфиденциальных данных после увольнения сотрудников. Компании часто стремятся немедленно прекратить доступ увольняющихся сотрудников, чтобы предотвратить утечку важной информации, в том числе случайную. Компании, которые не полностью деактивируют учётные записи бывших сотрудников, могут столкнуться с будущими проблемами безопасности, утечками данных или злонамеренными действиями недовольных сотрудников.
Представители Apple не ответили на электронное письмо TechCrunch с вопросами об уязвимости безопасности, о том, как она была использована, и когда компания деактивировала учётные данные сотрудника.
«ЛОЛ… так забавно.»
В жалобе Apple утверждает, что Лю в течение нескольких недель, уже будучи новым сотрудником OpenAI, вынес «десятки конфиденциальных файлов Apple, связанных с оборудованием».
Apple заявила, что файлы содержали «подробную информацию о ещё не выпущенных продуктах, инженерные презентации, технические спецификации и данные собственных проектов».
Компания утверждает, что Лю не вернул выданный Apple рабочий ноутбук, который ранее использовал для доступа к сети Apple, предполагая, что на нём можно было отправлять и получать файлы из внутренних систем Apple. В жалобе говорится, что Лю якобы заявил, что у него есть «ещё один компьютер». Находясь в OpenAI, Лю также якобы неправомерно использовал доступ знакомой — Ю-Тин Пэн, тогдашней сотрудницы Apple, которая позже перешла работать в OpenAI. Лю якобы использовал выданный Apple рабочий ноутбук Пэн «в то время, когда она всё ещё работала в Apple, а он — нет».
Apple сообщила, что в феврале 2026 года Лю «пытался получить доступ к сетевому хранилищу Apple — облачному файловому репозиторию, содержащему конфиденциальные инженерные файлы Apple, проектную документацию и другую собственническую информацию».
Лю якобы обнаружил, что «всё ещё может получить доступ к сетевому репозиторию Apple после ухода из Apple — это было следствием неизвестной на тот момент уязвимости аутентификации».
Apple не описала «ошибку» аутентификации, которую Лю якобы использовал для доступа к сети Apple. Однако ошибки аутентификации обычно относятся к недостаткам в процессе входа в систему, которые позволяют неправомерный доступ к системам или данным — либо из-за слабости механизма входа, либо из-за неправильной настройки, например, излишне широких разрешений или отсутствия деактивации учётных данных бывшего сотрудника.
Apple написала в своей жалобе, что, узнав о несанкционированном доступе к системам Apple, Лю не сообщил об этой ошибке компании в соответствии со своими трудовыми обязательствами и не вернул выданный Apple рабочий ноутбук.
В жалобе также добавлено, что Лю не «удалил программу, которая обеспечивала этот доступ» к сети Apple. Компания не уточнила, какую именно программу или приложение Лю якобы использовал для доступа к системам Apple. Нередко сотрудники имеют такие инструменты, как одобренный работодателем VPN или приложение удалённого доступа, позволяющие им получать доступ к конфиденциальным данным из‑за пределов офисов компании, используя свои учётные данные.
Учитывая, что у Лю ранее были учётные данные для доступа к сети Apple как у сотрудника, TechCrunch спросил Apple, когда компания деактивировала доступ Лю, но ответа мы не получили.
После того как Лю якобы получил доступ к сетевому ресурсу, он написал Пэн: «ЛОЛ, я обнаружил, что могу получить доступ к [сетевому хранилищу], так забавно.»
Apple подала иск в Окружной суд США Северного округа Калифорнии в Сан-Хосе и потребовала суда присяжных. OpenAI ранее заявляла, что «не заинтересована в коммерческих секретах других компаний».
Если дело продолжит своё движение, оно может начаться в этом году.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Zack Whittaker




