Uma atualização foi feita e os hackers do coletivo Rabbitude afirmaram que o Rabbit finalmente revogou a chave de API original da ElevenLabs, permitindo-lhes acesso às respostas de AI dos usuários e ao modelo de voz do dispositivo. No entanto, há uma reviravolta. O grupo agora afirma que também teve acesso ao serviço de mensagens interno do Rabbit.
Em uma postagem de quarta-feira no site do grupo, Rabbitude disse que os fabricantes do Rabbit R1 cancelaram todas as chaves de API previamente reveladas; uma delas foi tão malfeita que danificou os dispositivos dos usuários por um curto período até que pudesse reestabelecer a ElevenLabs. No entanto, o grupo não estava pronto para absolver o Rabbit e compartilhou que ainda tinha outra chave de API que estava codificada no Rabbit. Esta era para o Sendgrid, o serviço de e-mail usado para o subdomínio r1.rabbit.tech. O grupo de hackers diz que o domínio contém planilhas contendo dados sensíveis dos usuários.
Um dos desenvolvedores do grupo compartilhou um e-mail com o Gizmodo que parece ter sido enviado do endereço security@r1.rabbit.tech. O grupo diz que enviou um e-mail semelhante como teste há mais de um mês, mas que passou despercebido pelos desenvolvedores do Rabbit.
O grupo enviou mais e-mails do endereço rabbit@r1.rabbit.tech para Jason Koebler no 404 Media. Este e-mail era usado anteriormente para compartilhar detalhes de anúncios de imprensa com jornalistas.
A Rabbit não retornou imediatamente um pedido de comentário. Estaremos atentos para ver se os desenvolvedores têm algo mais a compartilhar sobre a invasão crescente. Nossa posição ainda é a mesma: se você estava usando um Rabbit R1, deve pausar até que o Rabbit compartilhe quaisquer detalhes concretos sobre sua segurança interna.
