Apple diz que ex-funcionário explorou bug ‘raro’ para baixar arquivos confidenciais após partir para OpenAI
Na sexta-feira, a Apple divulgou a notícia bombástica de que estava processando a OpenAI o alegado roubo de segredos comerciaisalegando que a OpenAI roubou dados confidenciais da Apple e se envolveu em esforços para obter informações proprietárias enquanto recrutava ex-funcionários da Apple.
Ao acusar a OpenAI de roubar segredos sobre produtos não lançados da Apple, a Apple revelou que um ex-funcionário supostamente desviou resmas de arquivos confidenciais das pastas de rede compartilhadas da empresa, semanas depois de deixar a Apple para trabalhar na OpenAI.
Em sua reclamaçãoA Apple diz que o ex-funcionário, um engenheiro elétrico de sistema chamado Chang Liu, supostamente “explorou um bug de autenticação raro e até então desconhecido” que permitiu o acesso à rede da empresa. O bug é classificado como uma vulnerabilidade de dia zeroo que significa que a Apple não teve tempo de consertar antes que fosse supostamente explorado.
Desde então, a Apple corrigiu o bug e disse que encerrou o acesso do funcionário assim que soube dessa “violação de segurança”. Em sua reclamação, a Apple disse que o bug poderia ter permitido que “algumas outras” pessoas acessassem dados em sua rede, mas alegou que apenas Liu explorou o bug para roubar informações confidenciais da Apple enquanto não era mais funcionário, citando uma verificação de seus registros de servidor.
A divulgação, embora leve em detalhes, destaca os desafios que as organizações enfrentam na proteção de dados corporativos confidenciais depois que os funcionários não trabalham mais lá. As empresas muitas vezes agem para impedir imediatamente o acesso dos funcionários que estão saindo para proteger qualquer informação sensível contra a saída, inclusive inadvertidamente. As empresas que não conseguirem encerrar totalmente as contas dos seus funcionários podem enfrentar futuros lapsos de segurança, violações de dadosou ações maliciosas por parte de funcionários insatisfeitos.
Os porta-vozes da Apple não responderam a um e-mail do TechCrunch com perguntas sobre a vulnerabilidade de segurança, como ela foi explorada e quando a empresa desativou as credenciais do funcionário.
“LOL… tão engraçado.”
Na denúncia, a Apple alegou que Liu pegou “dezenas de arquivos confidenciais relacionados ao hardware da Apple” ao longo de várias semanas enquanto era um novo funcionário da OpenAI.
A Apple disse que os arquivos continham “informações detalhadas sobre produtos não lançados, apresentações de engenharia, especificações técnicas e dados proprietários de projetos”.
A empresa afirma que Liu não devolveu o laptop de trabalho fornecido pela Apple que ele havia usado anteriormente para acessar a rede da Apple, sugerindo que ele já foi capaz de enviar e receber arquivos dos sistemas internos da Apple. A denúncia dizia que Liu supostamente alegou ter “outro computador”. Enquanto estava na OpenAI, Liu também supostamente usou indevidamente o acesso de um conhecido, Yu-Ting Peng, um então funcionário da Apple que mais tarde foi trabalhar para a OpenAI. Liu supostamente usou o laptop de trabalho fornecido pela Apple de Peng “enquanto ela ainda trabalhava na Apple e ele não”.
A Apple disse que durante fevereiro de 2026, Liu “tentou acessar o armazenamento de rede da Apple – um repositório de arquivos baseado em nuvem contendo arquivos confidenciais de engenharia da Apple, documentação de projeto e outras informações proprietárias”.
Liu supostamente descobriu que “ainda poderia acessar o repositório de rede da Apple depois de deixar a Apple, resultado de uma vulnerabilidade de autenticação então desconhecida”.
A Apple não descreveu o “bug” de autenticação que Liu supostamente usou para acessar a rede da Apple. No entanto, bugs de autenticação geralmente se referem a falhas no processo de login que permitem acesso indevido a sistemas ou dados, seja devido a uma falha no funcionamento do mecanismo de login ou devido a uma configuração incorreta, como permissões excessivamente amplas ou não desativação das credenciais de login de um ex-funcionário.
A Apple escreveu em sua reclamação que quando Liu soube que tinha acesso não autorizado aos sistemas da Apple, ele não relatou o bug à Apple de acordo com as obrigações de seu contrato de trabalho, nem devolveu seu laptop de trabalho fornecido pela Apple.
A denúncia acrescenta que Liu também não conseguiu “excluir o programa que permitia o acesso” à rede da Apple. A empresa não informou qual programa ou aplicativo Liu supostamente usou para acessar os sistemas da Apple. Não é incomum que os funcionários tenham ferramentas, como uma VPN aprovada para trabalho ou um aplicativo de visualização remota, que lhes permita acessar dados confidenciais de fora dos escritórios da empresa usando suas credenciais.
Dado que Liu já havia recebido credenciais para a rede da Apple como funcionário, o TechCrunch perguntou à Apple quando a empresa desativou o acesso de Liu, mas não obtivemos resposta.
Assim que Liu supostamente obteve acesso ao compartilhamento de rede, ele escreveu para Peng: “LOL, descobri que posso acessar (armazenamento de rede), que engraçado”.
A Apple entrou com uma ação no Tribunal Distrital dos EUA para o Distrito Norte da Califórnia, em San Jose, e exigiu um julgamento com júri. OpenAI dito anteriormente não tem “nenhum interesse nos segredos comerciais de outras empresas”.
O caso, se avançar, poderá começar este ano.
Quando você compra por meio de links em nossos artigos, podemos ganhar uma pequena comissão. Isso não afeta nossa independência editorial.



Publicar comentário