Startup đánh giá AI Braintrust xác nhận bị lộ dữ liệu, yêu cầu khách hàng thay thế ngay lập tức các khóa API

Startup đánh giá AI Braintrust xác nhận bị lộ dữ liệu, yêu cầu khách hàng thay thế ngay lập tức các khóa API

Braintrust, một startup chuyên cung cấp "hệ điều hành cho các kỹ sư xây dựng phần mềm AI", đã khẩn thiết yêu cầu khách hàng thu hồi và thay thế các khóa API của họ sau khi phát hiện sự cố lộ lọt bí mật bảo mật.

Theo một email gửi tới khách hàng vào thứ Hai mà TechCrunch đã có được, startup này đã xác nhận có sự "truy cập trái phép" vào một trong các tài khoản đám mây Amazon Web Services (AWS) của họ. Tài khoản này chứa các khóa API mà khách hàng sử dụng để truy cập các mô hình AI dựa trên đám mây.

"Chúng tôi đã liên hệ với một khách hàng bị ảnh hưởng và cho đến nay chưa tìm thấy bằng chứng về việc lộ lọt rộng rãi hơn," email viết.

Dù chỉ xác nhận một khách hàng bị ảnh hưởng, email vẫn yêu cầu "mọi khách hàng hãy thay thế (rotate)" bất kỳ khóa API nào mà họ lưu trữ trên Braintrust.

Phản ứng của công ty

Braintrust đã công bố sự cố an ninh này trên trang web của họ vào thứ Ba. "Sự cố đã được kiểm soát, và trong thời gian chờ đợi, chúng tôi đã khóa tài khoản bị xâm phạm, kiểm toán và hạn chế quyền truy cập trên các hệ thống liên quan, cũng như thay đổi các bí mật nội bộ."

Công ty cho biết nguyên nhân của vụ vi phạm đang được điều tra.

Người phát ngôn của Braintrust, Martin Bergman, cho biết với TechCrunch rằng công ty gửi email này cho khách hàng "vì sự thận trọng tối đa". Ông khẳng định công ty "xác nhận có một sự cố an ninh, nhưng chưa có bằng chứng về việc bị xâm phạm tại thời điểm này."

Bối cảnh và rủi ro lan truyền

Braintrust cung cấp một nền tảng được thiết kế để các công ty giám sát các mô hình và sản phẩm AI. Nhà sáng lập kiêm CEO Ankur Goyal từng mô tả Braintrust giống như một "hệ điều hành dành cho các kỹ sư xây dựng phần mềm AI". Vào tháng 2, startup này đã huy động được 80 triệu USD vòng vốn Series B, định giá công ty ở mức 800 triệu USD.

Jaime Blasco, đồng sáng lập của startup an ninh mạng Nudge Security, người nhận được cảnh báo vi phạm từ Braintrust, nhận định với TechCrunch rằng sự cố này có thể mang lại "hệ lụy lan truyền cho các khách hàng bị ảnh hưởng", đặc biệt là các công ty AI phụ thuộc vào Braintrust.

Các hacker thường nhắm vào các tài khoản doanh nghiệp trên dịch vụ đám mây hoặc nền tảng bên thứ ba như một cách hiệu quả để đánh cắp bí mật, chẳng hạn như khóa API. Một khi nắm được khóa API, hacker có thể đăng nhập vào hệ thống của công ty hoặc khách hàng dưới danh nghĩa người dùng hợp pháp mà không cần đột nhập trực tiếp vào hệ thống của mục tiêu.

Vào năm 2023, CircleCI, một công ty cung cấp sản phẩm phát triển cho kỹ sư phần mềm, cũng từng bị tấn công tương tự trên đám mây và yêu cầu khách hàng thay thế "mọi bí mật" họ lưu trữ trên công ty. Gần đây hơn, một cơ quan an ninh mạng của EU cũng cho biết hacker đã đánh cắp 92 gigabyte dữ liệu từ tài khoản AWS bị xâm phạm của Ủy ban Châu Âu.