El viernes, Apple lanzó la noticia explosiva de que estaba demandando a OpenAI por robo de secretos comerciales, alegando que la compañía robó datos confidenciales de Apple e hizo esfuerzos para conocer información confidencial al contratar a ex empleados de Apple.
Al acusar a OpenAI de robar secretos sobre productos inéditos de Apple, Apple reveló acusaciones de que un ex empleado supuestamente desvió una gran cantidad de archivos confidenciales de las carpetas de red compartidas de la compañía semanas después de dejar Apple para trabajar para OpenAI.
Apple dijo en su denuncia que un ex empleado, un ingeniero eléctrico de sistemas llamado Chang Liu, supuestamente «aprovechó un error de autenticación poco común y previamente desconocido» para obtener acceso a la red de la empresa. El error está clasificado como una vulnerabilidad de día cero, lo que significa que Apple no tuvo tiempo de solucionarlo antes de que fuera explotado.
Apple dijo que desde entonces solucionó el error y canceló el acceso de los empleados al enterarse de la «violación de seguridad». Apple dijo en su denuncia que el error podría haber permitido a «varios otros» acceder a datos en su red, pero citó una verificación de los registros del servidor y argumentó que Liu fue la única persona que aprovechó el error para robar información confidencial de Apple mientras no era un empleado.
Aunque la divulgación no es detallada, destaca los desafíos que enfrentan las organizaciones al proteger los datos confidenciales de la empresa después de que los empleados ya no están en el trabajo. Las empresas a menudo toman medidas para cortar inmediatamente el acceso a los empleados que salen para evitar que se filtre información confidencial sin darse cuenta. Las empresas que no retiren por completo las cuentas de sus empleados pueden enfrentar futuras fallas de seguridad, filtraciones de datos o acciones maliciosas por parte de empleados descontentos.
Un portavoz de Apple no respondió a un correo electrónico de TechCrunch con preguntas sobre la vulnerabilidad de seguridad, cómo fue explotada y cuándo la empresa retiró las credenciales de los empleados.
«LOL…Eso es muy divertido.»
Apple alegó en su denuncia que Liu exfiltró «docenas de archivos confidenciales relacionados con el hardware de Apple» durante varias semanas cuando era un nuevo empleado en OpenAI.
Apple dijo que estos archivos contienen «información detallada sobre productos inéditos, presentaciones de ingeniería, especificaciones técnicas y datos de proyectos propietarios».
La compañía alega que Liu no devolvió una computadora portátil de trabajo proporcionada por Apple que había usado anteriormente para acceder a la red de Apple, lo que sugiere que alguna vez pudo enviar archivos hacia y desde los sistemas internos de Apple. Liu supuestamente afirmó tener «otra computadora», según la denuncia. Mientras trabajaba en OpenAI, se dice que Liu abusó del acceso de un conocido, Yu-Ting Peng. Yu-Ting Peng era empleado de Apple en ese momento y luego pasó a trabajar en OpenAI. El Sr. Liu supuestamente usó la computadora portátil de trabajo proporcionada por Apple del Sr. Peng «mientras ella todavía era empleada de Apple y él no».
Apple dijo que durante febrero de 2026, Liu «intentó acceder al almacenamiento en red de Apple, un repositorio de archivos basado en la nube que contiene archivos de ingeniería confidenciales, documentos de proyectos y otra información confidencial de Apple».
Se dice que Liu descubrió que «incluso después de dejar Apple, todavía tenía acceso a los repositorios de red de Apple, como resultado de una vulnerabilidad de autenticación entonces desconocida».
Apple no explicó el «error» de autenticación que supuestamente Liu utilizó para acceder a la red de Apple. Sin embargo, los errores de autenticación generalmente se refieren a fallas en el proceso de inicio de sesión que permiten un acceso inadecuado a sistemas o datos debido a debilidades en la forma en que funciona el mecanismo de inicio de sesión o configuraciones incorrectas, como privilegios demasiado amplios o no retirar las credenciales de inicio de sesión para ex empleados.
Apple dice en su denuncia que cuando se enteró de que Liu había comprometido los sistemas de Apple, no informó el error a Apple como lo exige su contrato de trabajo y no devolvió su computadora portátil de trabajo proporcionada por Apple.
La denuncia agrega que Liu tampoco logró «eliminar los programas a los que autorizó a acceder» a la red de Apple. La compañía no dijo qué programas o aplicaciones supuestamente usó Liu para acceder a los sistemas de Apple. No es raro que los empleados utilicen herramientas aprobadas por el trabajo, como VPN y aplicaciones de visualización remota, que les permiten usar sus credenciales para acceder a datos confidenciales desde fuera de las oficinas de la empresa.
Dado que a Liu se le otorgaron previamente credenciales para la red de Apple como empleado, TechCrunch preguntó cuándo Apple eliminaría el acceso de Liu, pero no recibió respuesta.
Después de que el Sr. Liu supuestamente obtuvo acceso al recurso compartido de red, le escribió al Sr. Peng: «Lol, veo que puedes acceder (al almacenamiento de red), eso es muy interesante».
Apple presentó una demanda en el Tribunal de Distrito de los Estados Unidos para el Distrito Norte de California en San José, solicitando un juicio con jurado. OpenAI ha dicho anteriormente que «no está interesado en los secretos comerciales de otras empresas».
Si la demanda avanza, podría comenzar este año.
Si compra a través de enlaces en nuestros artículos, podemos ganar una pequeña comisión. Esto no afecta la independencia editorial.
Source link
