Les pirates affirment avoir accès à un trésor de données utilisateur de Rabbit R1
Mise à jour le 26/06/24 à 12h50 :
Le collectif de hackers et de développeurs Rabbitude a déclaré à Gizmodo que Rabbit avait finalement révoqué la clé API originale d'ElevenLabs, leur permettant d'accéder aux réponses de l'IA des utilisateurs et au modèle vocal de l'appareil. Cependant, il y a une nouvelle tournure. Le groupe affirme désormais avoir également accès à la messagerie interne de Rabbit.
Lecture suggérée
Lecture suggérée
- Désactivé
- Anglais
Contenu connexe
Dans un message publié mercredi sur le site du groupe, Rabbitude a déclaré que les fabricants de Rabbit R1 avaient annulé toutes les clés API précédemment révélées ; l'un d'entre eux était si mal réalisé qu'il a bloqué les appareils des utilisateurs pendant une courte période jusqu'à ce qu'il puisse réintégrer ElevenLabs. Cependant, le groupe n'était pas prêt à se débarrasser de Rabbit et a partagé qu'il disposait d'une autre clé API codée en dur dans le Rabbit. Celui-ci était destiné à Sendgrid, le service de messagerie utilisé pour le sous-domaine r1.rabbit.tech. Le groupe de hackers affirme que le domaine héberge des feuilles de calcul contenant des données utilisateur sensibles.
Contenu connexe
L'un des développeurs du groupe a partagé un e-mail avec Gizmodo qui semble être envoyé depuis l' adresse [email protected] . Le groupe affirme avoir envoyé un e-mail similaire à titre de test il y a plus d'un mois, mais cela est passé inaperçu auprès des développeurs de Rabbit.
Le groupe a envoyé d'autres e-mails depuis l' adresse [email protected] à Jason Koebler de 404 Media . Cet e-mail était auparavant utilisé pour partager les détails des annonces de presse avec les journalistes.
Rabbit n'a pas immédiatement répondu à une demande de commentaire. Nous verrons si les développeurs ont quelque chose de plus à partager sur la violation croissante. Notre argument est toujours valable : si vous utilisiez un Rabbit R1, vous devriez le mettre en pause jusqu'à ce que Rabbit partage des détails concrets sur sa sécurité interne.
Histoire originale :
Ce doohickey IA minimaliste et orange flamboyant à 200 $ appelé Rabbit R1 a promis qu'il deviendrait votre compagnon IA incontournable. Au lieu de cela, cela a prouvé qu’il s’agissait d’une machine mal formée et à moitié cuite qui ne pouvait tenir aucune de ses nobles promesses. Aujourd’hui, selon un groupe de hackers au chapeau blanc, c’est encore pire que cela. L'équipe se faisant appeler Rabbitude affirme avoir accès à toutes les clés API de base de code de Rabbit R1 depuis plus d'un mois, ce qui leur permet d'avoir un aperçu de toutes les réponses de Rabbit, y compris de toute information sensible offerte à l'IA.
Tout cela pour dire que si vous faites encore partie de ces petits lièvres qui sautent encore sur l'occasion d'utiliser un Rabbit R1, vous devriez arrêter de le faire immédiatement.
Rabbitude a affirmé avoir eu accès à la base de code du Rabbit le 16 mai. L'équipe a également partagé les clés API qui permettent au Rabbit de se connecter à Google Maps et Yelp, ce qui donne aux modèles d'IA l'accès aux avis et aux directions locales. L'équipe affirme également avoir accès à la clé ElevenLabs , qui est le système utilisé par Rabbit pour la synthèse vocale. Ce dernier est particulièrement important pour les opérations quotidiennes de Rabbit car il permet aux pirates informatiques d'obtenir un historique de tous les messages de synthèse vocale passés et même de bloquer l'appareil en supprimant entièrement les voix.
Après que le groupe de hackers a publié ses conclusions mardi soir, l'un des membres qui s'appelle Eva Online a déclaré qu'ElevenLabs avait temporairement révoqué la clé API d'ElevenLabs, ce qui a également arrêté tous les appareils Rabbit pendant un certain temps avant de les remettre en ligne. Ils ont dit : « Rabbit était au courant et n’a rien fait pour y remédier. »
Gizmodo a contacté Rabbit tôt mercredi matin pour un commentaire, mais nous n'avons pas immédiatement reçu de réponse. La société a déclaré à Engadget qu'elle était au courant de la violation présumée, mais qu'elle n'était "au courant d'aucune fuite de données client ni d'aucune compromission de nos systèmes". Gizmodo a également demandé à Rabbit s'il avait révoqué des clés API, bien que nous mettrons à jour cet article si nous en entendons plus.
Le Rabbit R1 est déjà sujet aux pannes car il s'appuie énormément sur des services cloud qui ne sont pas directement contrôlés par l'équipe Rabbit. Le mois dernier, une panne de ChatGPT a temporairement rendu l'appareil totalement inutile . Gizmodo n'a pas pu confirmer de manière indépendante si le Rabbit s'était déconnecté en raison d'une ingérence dans l'API ElevenLabs. Nous avons contacté l'équipe de hackers pour obtenir des preuves et des commentaires, et nous mettrons à jour cette histoire si nous en entendons plus.
Le blogueur technologique Ed Zitron a déjà détaillé la transformation de l'entreprise, passant du travail sur un projet de métaverse cryptographique à son appareil d'IA. YouTuber CoffeeZilla a également analysé certains des aspects les plus préoccupants de l'appareil, notamment certains « sérieux problèmes de confidentialité des données » après avoir examiné la base de code du Rabbit. Il a mentionné « des éléments que les acteurs malveillants pourraient utiliser pour accéder à toutes les réponses que R1 a jamais données ».
Sur Rabbitude Discord, l'équipe affirme travailler avec CoffeeZilla depuis qu'elle a accédé à cette base de code il y a plus d'un mois. L’équipe a ajouté : « C’est réel. Le lapin peut danser autour de lui autant qu'il veut, mais c'est réel, et cela s'est produit. Ils avaient un mois pour changer les clés et ils ne l'ont pas fait. C'est sur eux.
