Apple anklagar en tidigare anställd för att ha utnyttjat ett tidigare okänt autentiseringsfel för att komma åt bolagets interna fillagring efter att han lämnat företaget för ett jobb på OpenAI.
Enligt Apples stämningsansökan kunde systemingenjören Chang Liu fortfarande nå ett molnbaserat filarkiv med tekniska dokument, presentationer och information om produkter som ännu inte hade lanserats. Åtkomsten ska ha fortsatt i flera veckor efter att hans anställning hos Apple hade upphört.
Läs även: Ny AI-tvist: Apple stämmer OpenAI
Annons
Apple hävdar att Liu laddade ner ett stort antal konfidentiella hårdvarufiler medan han redan arbetade för OpenAI. Materialet ska bland annat ha innehållit tekniska specifikationer, projektdokumentation och detaljer om kommande produkter.
Uppgifterna är Apples anklagelser och har ännu inte prövats av domstol. OpenAI har offentligt tillbakavisat bilden av att företaget skulle vara intresserat av andra bolags affärshemligheter.
Ett okänt fel höll dörren öppen
Apple beskriver säkerhetsbristen som ett sällsynt och tidigare okänt autentiseringsfel. Bolaget har däremot inte förklarat exakt hur felet fungerade eller vilket program Liu ska ha använt för att ansluta till nätverket.
Ett autentiseringsfel innebär i grunden att ett system gör en felaktig bedömning av vem som får logga in. Det kan exempelvis handla om en session som inte avslutas korrekt, en token som fortsätter att accepteras eller en enhet som fortfarande betraktas som betrodd trots att användarens konto borde ha stängts.
Apple uppger i stämningen att Liu upptäckte att han fortfarande kunde öppna nätverkslagringen efter sin anställning. I ett meddelande till en bekant ska han ha skrivit att han hade upptäckt åtkomsten och tyckte att situationen var rolig.
Enligt TechCrunch hade Apple inte svarat på frågor om när mannens behörigheter stängdes av eller hur sårbarheten kunde utnyttjas. Apple ska senare ha rättat felet och granskat serverloggarna för att se om fler personer hade använt samma väg in.
Säkerheten måste följa både personen och datorn
Den centrala säkerhetsfrågan är varför åtkomsten överlevde själva anställningen. När någon lämnar ett företag räcker det inte alltid att stänga det synliga användarkontot. Även aktiva sessioner, certifikat, VPN-anslutningar, lokala program, sparade nycklar och registrerade arbetsdatorer kan behöva återkallas separat.
Apple hävdar dessutom att Liu inte lämnade tillbaka sin arbetsdator. Han ska även ha använt en annan Appleanställds jobbdator medan den personen fortfarande arbetade kvar på företaget.
Det innebär att händelsen kan ha omfattat flera lager av åtkomst. Dels den autentiseringsbrist som Apple beskriver, dels fysiska enheter och kontakter som fortfarande befann sig innanför företagets säkerhetsgräns.
NIST rekommenderar att kontohantering kopplas direkt till processerna för när personal slutar eller byter roll. Konton och rättigheter ska kunna stängas av konsekvent i samtliga system, inte bara i företagets huvudsakliga inloggningstjänst.
Principen brukar beskrivas som minsta möjliga behörighet. En användare, enhet eller tjänst ska endast få tillgång till de resurser som behövs för den aktuella arbetsuppgiften. När behovet försvinner ska även åtkomsten försvinna.
OWASP placerar bristande åtkomstkontroll bland de allvarligaste säkerhetsproblemen för digitala system. Ett vanligt resultat är att användare kan se eller hämta information utanför de behörigheter som egentligen var avsedda för dem.
Serverloggarna blev Apples viktigaste bevis
Apple hävdar att granskningen av företagets loggar visade att några få personer tekniskt sett kan ha haft möjlighet att använda felet. Enligt bolaget var Liu däremot den enda som faktiskt utnyttjade det för att hämta konfidentiellt material efter avslutad anställning.
Loggar kan visa vilka konton och enheter som har öppnat filer, när anslutningarna skedde och hur stora mängder data som överfördes. Däremot krävs det ofta ytterligare bevisning för att fastställa vem som satt vid datorn och hur materialet senare användes.
Fallet är en del av en större stämning där Apple anklagar OpenAI för att systematiskt ha försökt få tillgång till information om Apples hårdvara. Apple hävdar bland annat att tidigare anställda har fått frågor om komponenter, tillverkningsmetoder och ännu inte offentliggjorda produkter.
Konflikten kommer samtidigt som OpenAI bygger upp en egen hårdvaruverksamhet. Företaget köpte 2025 designbolaget io, som grundades av den tidigare Applechefen Jony Ive, i en affär värd 6,5 miljarder dollar.
Apple vill att domstolen förbjuder OpenAI från att använda eller sprida eventuella företagshemligheter och kräver att konfidentiellt material lämnas tillbaka. Bolaget har även begärt att relevant bevisning ska bevaras.
Oavsett hur domstolen bedömer anklagelserna har processen redan blottat ett ovanligt känsligt säkerhetsproblem. Apples skydd ska inte ha brutits genom ett mejl, ett stulet lösenord eller en extern hackerattack. Den påstådda vägen in var i stället en tidigare betrodd användare, en arbetsdator och ett system som inte fullt ut hade förstått att anställningen var över.



