Apple mengatakan mantan karyawannya mengeksploitasi bug ‘langka’ untuk mengunduh file rahasia setelah berangkat ke OpenAI

Pada hari Jumat, Apple menyampaikan berita mengejutkan bahwa mereka menggugat OpenAI atas dugaan pencurian rahasia dagang, mengklaim bahwa OpenAI mencuri data rahasia Apple dan terlibat dalam upaya untuk mempelajari informasi hak milik sambil merekrut mantan karyawan Apple. Saat menuduh OpenAI mencuri rahasia tentang produk Apple yang belum dirilis, Apple mengungkapkan bahwa seorang mantan karyawan diduga menyedot banyak sekali file sensitif dari folder jaringan bersama perusahaan, beberapa minggu setelah meninggalkan Apple untuk bekerja di OpenAI. Dalam pengaduannya, Apple mengatakan mantan karyawannya, seorang insinyur sistem kelistrikan bernama Chang Liu, diduga “mengeksploitasi bug otentikasi langka yang sebelumnya tidak diketahui” yang memungkinkan akses ke jaringan perusahaan. Bug tersebut diklasifikasikan sebagai kerentanan zero-day, artinya Apple tidak punya waktu untuk memperbaikinya sebelum diduga dieksploitasi. Apple telah memperbaiki bug tersebut dan mengatakan pihaknya menghentikan akses karyawan setelah mengetahui “pelanggaran keamanan” ini. Dalam keluhannya, Apple mengatakan bahwa bug tersebut memungkinkan “beberapa” orang lain untuk mengakses data di jaringannya, namun menuduh bahwa hanya Liu yang mengeksploitasi bug tersebut untuk mencuri informasi rahasia Apple ketika bukan lagi seorang karyawan, dengan alasan memeriksa log servernya. Pengungkapan ini, meskipun tidak terlalu rinci, menyoroti tantangan yang dihadapi organisasi dalam melindungi data sensitif perusahaan setelah karyawan tidak lagi bekerja di sana. Perusahaan sering kali mengambil langkah untuk segera memutus akses lebih lanjut terhadap staf yang keluar untuk melindungi informasi sensitif agar tidak keluar, termasuk secara tidak sengaja. Perusahaan yang gagal menonaktifkan sepenuhnya akun karyawannya dapat menghadapi kelemahan keamanan di masa depan, pelanggaran data, atau tindakan jahat yang dilakukan oleh staf yang tidak puas. Juru bicara Apple tidak menanggapi email dari TechCrunch yang berisi pertanyaan tentang kerentanan keamanan, bagaimana kerentanan tersebut dieksploitasi, dan kapan perusahaan menonaktifkan kredensial karyawan tersebut. “LOL… lucu sekali.” Dalam pengaduannya, Apple menuduh Liu mengambil “lusinan file rahasia terkait perangkat keras Apple” selama beberapa minggu saat ia masih menjadi karyawan baru OpenAI. Apple mengatakan file tersebut berisi “informasi rinci tentang produk yang belum dirilis, presentasi teknik, spesifikasi teknis, dan data proyek kepemilikan.” Perusahaan mengklaim Liu gagal mengembalikan laptop kerja keluaran Apple yang sebelumnya dia gunakan untuk mengakses jaringan Apple, menunjukkan bahwa laptop tersebut pernah dapat mengirim dan menerima file dari sistem internal Apple. Pengaduan tersebut mengatakan bahwa Liu diduga mengaku memiliki “komputer lain.” Saat berada di OpenAI, Liu juga diduga menyalahgunakan akses seorang kenalannya, Yu-Ting Peng, yang saat itu menjabat sebagai karyawan Apple yang kemudian bekerja untuk OpenAI. Liu diduga menggunakan laptop kerja milik Peng yang dikeluarkan Apple “saat dia masih bekerja di Apple dan Peng tidak.” Apple mengatakan bahwa selama bulan Februari 2026, Liu “mencoba mengakses penyimpanan jaringan Apple — penyimpanan file berbasis cloud yang berisi file teknis rahasia Apple, dokumentasi proyek, dan informasi kepemilikan lainnya.” Liu diduga menemukan bahwa dia “masih dapat mengakses repositori jaringan Apple setelah meninggalkan Apple, akibat dari kerentanan otentikasi yang tidak diketahui saat itu.” Apple tidak menjelaskan “bug” autentikasi yang diduga digunakan Liu untuk mengakses jaringan Apple. Namun, bug autentikasi umumnya mengacu pada kelemahan dalam proses login yang memungkinkan akses yang tidak tepat ke sistem atau data, baik karena kelemahan dalam cara kerja mekanisme login atau karena kesalahan konfigurasi, seperti izin yang berlebihan atau tidak menonaktifkan kredensial login mantan karyawan. Apple menulis dalam keluhannya bahwa ketika Liu mengetahui bahwa dia memiliki akses tidak sah ke sistem Apple, dia tidak melaporkan bug tersebut kepada Apple berdasarkan kewajiban perjanjian kerjanya, dan dia juga tidak mengembalikan laptop kerja yang dikeluarkan Apple. Keluhan tersebut menambahkan bahwa Liu juga gagal “menghapus program yang mengizinkan akses” ke jaringan Apple. Perusahaan tidak menyebutkan program atau aplikasi apa yang diduga digunakan Liu untuk mengakses sistem Apple. Bukan hal yang aneh bagi karyawan untuk memiliki alat, seperti VPN yang disetujui di tempat kerja atau aplikasi pemantauan jarak jauh, yang memungkinkan mereka mengakses data sensitif dari luar kantor perusahaan menggunakan kredensial mereka. Mengingat Liu sebelumnya diberikan kredensial ke jaringan Apple sebagai karyawan, TechCrunch bertanya kepada Apple kapan perusahaan menonaktifkan akses Liu, tetapi kami tidak mendapat tanggapan. Setelah Liu diduga mendapatkan akses ke jaringan berbagi, dia menulis kepada Peng: “LOL, saya tahu saya dapat mengakses (penyimpanan jaringan), lucu sekali.” Apple mengajukan gugatannya ke Pengadilan Distrik AS untuk Distrik Utara California di San Jose, dan menuntut pengadilan juri. OpenAI sebelumnya mengatakan pihaknya “tidak tertarik pada rahasia dagang perusahaan lain.” Kasus ini, jika dilanjutkan, bisa dimulai tahun ini. Saat Anda membeli melalui tautan di artikel kami, kami mungkin mendapat komisi kecil. Hal ini tidak mempengaruhi independensi editorial kami.


Diterbitkan : 2026-07-13 20:00:00

sumber : techcrunch.com