Failles de Sécurité Critiques dans la Gestion d'API de Rabbit Inc
Failles de Sécurité Critiques dans la Gestion d'API de Rabbit Inc
Le 16 mai 2024, l'équipe de Rabbitude a découvert des vulnérabilités de sécurité graves dans le code de Rabbit Inc. Ils ont identifié des clés API codées en dur pour des services comme ElevenLabs, Azure, Yelp et Google Maps. Ces clés permettent un accès non autorisé à des données sensibles, y compris toutes les réponses historiques des appareils R1, la possibilité de modifier les réponses et même le potentiel de désactiver complètement les appareils.
Détails de la Violation
La clé API de ElevenLabs est particulièrement préoccupante, car elle accorde des privilèges complets pour accéder et manipuler les messages de synthèse vocale, changer les voix et faire planter les systèmes backend de RabbitOS. Cela pourrait rendre tous les appareils R1 inopérants, posant des risques significatifs pour les utilisateurs.
Inaction de Rabbit
Bien que Rabbit Inc soit au courant de ces vulnérabilités depuis plus d'un mois, aucune mesure n'a été prise pour sécuriser leurs clés API. Cette négligence souligne des lacunes critiques dans leurs protocoles de sécurité, mettant les utilisateurs en danger de violations de données et d'interruptions de service.
Avis aux Consommateurs
Les consommateurs doivent être conscients des lacunes de sécurité de Rabbit Inc et envisager de déconnecter leurs connexions Rabbithole. Bien que des informations détaillées sur la violation soient retenues pour protéger les utilisateurs, les vulnérabilités exposées soulignent la nécessité de mesures de sécurité strictes dans la gestion des clés API et des données sensibles des utilisateurs.
