Il gruppo di sviluppatori e ricercatori Rabbitude ha recentemente sollevato gravi preoccupazioni riguardo alla sicurezza di Rabbit R1, il gadget con schermo touch, fotocamera, processore e AI. Secondo le loro affermazioni, sono state individuate delle chiavi API codificate nel codice dell’azienda, che potrebbero potenzialmente esporre informazioni sensibili a terzi non autorizzati.
Accesso non autorizzato a servizi di terze parti
Le chiavi API in questione fornivano l’accesso agli account di Rabbit con servizi esterni, tra cui il generatore di voci AI ElevenLabs e l’account SendGrid dell’azienda, utilizzato per l’invio di e-mail dal dominio rabbit.tech. Rabbitude sostiene che l’accesso a queste chiavi, in particolare a quella di ElevenLabs, consentiva di accedere a tutte le risposte generate dai dispositivi R1, rappresentando una grave minaccia per la privacy degli utenti.
Secondo quanto riportato da Rabbitude, il gruppo era a conoscenza della violazione da oltre un mese, ma nonostante ciò, Rabbit non avrebbe intrapreso azioni tempestive per proteggere i dati sensibili degli utenti. Sebbene l’accesso alla maggior parte delle chiavi sia stato successivamente revocato, suggerendo una rotazione delle stesse da parte dell’azienda, Rabbitude afferma di aver mantenuto l’accesso alla chiave di SendGrid fino a oggi.
La risposta di Rabbit alle accuse
In risposta alle richieste di commento, Rabbit ha indirizzato gli interessati verso una pagina del proprio sito web, pubblicata mercoledì a mezzogiorno. Ryan Fenwick, portavoce dell’azienda, ha dichiarato che la pagina verrà aggiornata con ulteriori informazioni non appena disponibili.
La dichiarazione sul sito riflette quanto già comunicato da Rabbit sul suo canale Discord, affermando che l’azienda sta indagando sull’incidente ma che, al momento, non ha riscontrato alcuna compromissione dei sistemi critici o della sicurezza dei dati dei clienti.
Il lancio del Rabbit R1 in primavera, nonostante il clamore mediatico, ha deluso le aspettative. Il dispositivo presentava problemi di durata della batteria, un set di funzioni limitato e risposte generate dall’AI spesso imprecise. Sebbene l’azienda abbia prontamente rilasciato aggiornamenti software per risolvere alcuni bug, come il consumo eccessivo della batteria, il problema principale del Rabbit R1 rimane quello di promettere troppo e mantenere poco.
Una grave violazione della sicurezza come quella denunciata da Rabbitude rende ancora più arduo per l’azienda riguadagnare la fiducia del pubblico.
Prospettive future per Rabbit
Alla luce delle recenti accuse di vulnerabilità nelle chiavi API, Rabbit si trova ad affrontare una sfida non da poco per per sbarazzarsi della cattiva reputazione e garantire la sicurezza dei dati dei propri clienti. L’azienda dovrà dimostrare di aver adottato misure efficaci per risolvere le falle di sicurezza e prevenire future violazioni. Inoltre, sarà fondamentale per Rabbit comunicare in modo trasparente con gli utenti riguardo all’incidente e alle azioni intraprese per affrontarlo.
Solo attraverso un impegno concreto verso la sicurezza e la trasparenza, Rabbit potrà sperare di riconquistare la fiducia del pubblico e superare le difficoltà legate al lancio del suo gadget.