Ces clés donnaient essentiellement accès aux comptes de Rabbit avec des services tiers comme son fournisseur de synthèse vocale ElevenLabs et — comme le confirme 404 Médias – le compte SendGrid de l’entreprise, qui permet d’envoyer des e-mails à partir de son domaine lapin.tech. Selon Rabbitude, son accès à ces clés API – en particulier à l’API ElevenLabs – signifiait qu’il pouvait accéder à toutes les réponses jamais données par les appareils R1. C’est mauvais avec un b majuscule.
Lapinude a publié un article hier disant qu’il a eu accès aux clés il y a plus d’un mois mais que bien qu’il soit au courant de la violation, Rabbit n’a rien fait pour sécuriser les informations. Depuis lors, le groupe affirme que son accès à la plupart des clés a été révoqué, ce qui suggère que l’entreprise les a alternées, mais plus tôt dans la journée, il avait toujours accès à la clé SendGrid.
Rabbit n’a pas répondu à ma demande de commentaire sur la faille de sécurité, bien qu’il ait fait une déclaration générale hier sur son serveur Discord : « Aujourd’hui, nous avons été informés d’une prétendue violation de données. Notre équipe de sécurité a immédiatement commencé à enquêter. Pour l’instant, nous n’avons connaissance d’aucune fuite de données client ni d’aucune compromission de nos systèmes. Si nous prenons connaissance d’autres informations pertinentes, nous fournirons une mise à jour une fois que nous aurons plus de détails.
Après son lancement très médiatisé ce printemps, le Rabbit R1 s’est révélé décevant. La durée de vie de la batterie était mauvaise, son ensemble de fonctionnalités était simple et ses réponses générées par l’IA contenaient souvent des erreurs. La société a publié une mise à jour logicielle en peu de temps pour corriger des bugs tels que l’épuisement de la batterie et a continué à publier des mises à jour depuis lors, mais le problème principal du R1, à savoir les promesses excessives et la sous-livraison massive, reste inchangé. Et une grave faille de sécurité comme celle-ci rend bien plus difficile la reconquête de la confiance du public.