Apple trekt juridische stappen tegen OpenAI
Apple heeft vrijdag een rechtszaak tegen OpenAI ingediend nadat het bedrijf ervan beschuldigt een voormalig medewerker te hebben ingezet om vertrouwelijke informatie te stelen. De claim draait om een zogenaamd "zero‑day" authenticatie‑bug die, volgens Apple, werd benut om grote hoeveelheden interne documenten te downloaden, nog voordat de kwetsbaarheid kon worden gepatcht.
De geruchtmakende kwetsbaarheid
In de klacht wordt Chang Liu, een elektrische systeem‑engineer, beschuldigd van het exploiteren van een "zeldzame, tot dan toe onbekende" authenticatie‑fout. Deze bug maakte het mogelijk om in te loggen op het gedeelde netwerk van Apple zonder de juiste inloggegevens. Apple zegt de fout inmiddels te hebben verholpen en de toegang van Liu direct te hebben beëindigd zodra de inbreuk werd ontdekt.
Hoe het diefstalmechanisme werkte
Volgens de aanklacht verzond Liu, al weken nadat hij bij OpenAI was begonnen, tientallen bestanden naar een externe computer. De gestolen data zou onder meer gedetailleerde specificaties van aankomende hardware, technische presentaties en projectdocumentatie bevatten. Apple stelt dat Liu zelfs een Apple‑uitgegeven laptop van een collega – Yu‑Ting Peng – heeft gebruikt, terwijl Peng nog bij Apple werkte.
Gevolgen voor bedrijfsbeveiliging
De zaak onderstreept een breed gedeeld probleem: het veilig afsluiten van accounts wanneer werknemers vertrekken. Veel bedrijven negeren subtiele resterende toegangsrechten, waardoor ex‑collega’s onbedoeld toegang behouden tot kritieke systemen. Een onvolledig gedeactiveerd account kan een poort openen voor datalekken, sabotage of spionage.
Apple’s reactie en verdere stappen
Apple gaf aan dat de logs van hun servers bevestigen dat Liu de enige persoon was die de bug heeft misbruikt. Het bedrijf betoogt dat Liu geen melding heeft gemaakt van de kwetsbaarheid, noch de werklaptop heeft ingeleverd, in strijd met zijn contractuele verplichtingen. OpenAI heeft tot op heden niet gereageerd op de beschuldigingen.
De uitspraak zal niet alleen de relatie tussen grote tech‑spelers onder druk zetten, maar ook een precedent scheppen voor hoe organisaties omgaan met post‑employment toegang. Het legt de nadruk op snelle de‑provisioning, strengere audits en een cultuur van verantwoord vermelden van beveiligingsissues.