Apple после подачи иска против OpenAI в связи с предполагаемой кражей коммерческой тайны сообщила, что один из бывших сотрудников, предположительно, скачал большой объём конфиденциальных файлов из общих сетевых папок компании уже через несколько недель после перехода на работу к конкуренту.

В исковом заявлении говорится, что этот сотрудник — инженер-электронщик Чан Лю — «воспользовался редкой, ранее неизвестной ошибкой аутентификации», которая открывала доступ к сети компании. Эта ошибка классифицируется как уязвимость «нулевого дня» (zero-day), и у Apple не было времени на её устранение до эксплуатации.
Позднее компания устранила уязвимость и аннулировала доступ сотрудника, как только узнала о данном «нарушении безопасности». В иске отмечается, что ошибка могла позволить получить доступ к данным в сети ещё «нескольким» людям, однако, согласно анализу серверных логов, только Лю воспользовался ею для кражи конфиденциальной информации Apple уже после увольнения.
В иске Apple утверждается, что Лю в течение нескольких недель, уже будучи сотрудником OpenAI, скопировал «десятки конфиденциальных файлов, касающихся аппаратного обеспечения». Они содержали «подробную информацию о невыпущенных продуктах, инженерные презентации, технические спецификации и закрытые данные по проектам».
Компания утверждает, что Лю не вернул рабочий ноутбук, выданный ему Apple и ранее использовавшийся для доступа к сети компании; это подразумевает, что с данного устройства можно было отправлять файлы во внутренние системы и получать их оттуда. В иске говорится, что Лю заявлял о наличии у него «ещё одного компьютера». Также утверждается, что во время работы в OpenAI инженер неправомерно использовал доступ, принадлежавший его знакомой Юй-Тин Пэн — сотруднице Apple, которая впоследствии перешла в OpenAI. Лю якобы пользовался рабочим ноутбуком Пэн, выданным ей компанией Apple, «в то время как она всё ещё работала в Apple, а он — уже нет».
По заявлению Apple, в феврале 2026 года Лю «пытался получить доступ к сетевому хранилищу Apple — облачному репозиторию файлов, содержащему конфиденциальные инженерные данные, проектную документацию и другую закрытую информацию компании». Он якобы обнаружил, что «по-прежнему может получить доступ к сетевому хранилищу Apple после увольнения из компании — в результате уязвимости в системе аутентификации, о которой тогда не было известно».
Apple не уточнила, в чем именно заключалась ошибка аутентификации, которую Лю использовал для доступа к сети компании. Однако обычно это недостатки в процессе входа в систему, позволяющие получить несанкционированный доступ к системам или данным; такие сбои могут быть вызваны как уязвимостями в механизме авторизации, так и ошибками настройки — например, избыточными правами доступа или тем, что учётные данные бывшего сотрудника не были аннулированы.
В иске Apple отмечается, что, обнаружив возможность несанкционированного доступа к системам компании, Лю не сообщил об этой ошибке работодателю и не вернул выданный ему рабочий ноутбук. Также утверждается, что он не «удалил программу, обеспечивающую доступ» к сети Apple. Компания не сообщила, какую именно программу или приложение использовал Лю для доступа к системам. Нередко сотрудники имеют в своем распоряжении инструменты (например, одобренный компанией VPN или приложение для удаленного доступа), позволяющие им работать с конфиденциальными данными вне офиса, используя свои учётные данные.
Получив доступ к сетевому хранилищу, Лю якобы написал Пэн: «Лол, я обнаружил, что могу зайти в [сетевое хранилище], так забавно».
Apple подала иск в Окружной суд США по Северному округу штата Калифорния (г. Сан-Хосе) и потребовала рассмотрения дела судом присяжных. Ранее в OpenAI заявляли, что «не заинтересована в коммерческой тайне других компаний».
Судебное разбирательство, если оно состоится, может начаться уже в этом году.
ссылка на оригинал статьи https://habr.com/ru/articles/1058832/