Troisième piratage en trois mois
Hugging Face fait à nouveau face à un piratage, cette fois-ci visant principalement les tokens d’authentification. Il est crucial de régénérer vos jetons d’accès.
Il a fallu près d’une semaine pour que Hugging Face réagisse à cette nouvelle attaque. La plateforme de modèles d’intelligence artificielle subit ainsi sa troisième intrusion en quelques mois seulement, compromettant cette fois-ci la sécurité des comptes utilisateurs avec le vol de tokens d’authentification.
Une intrusion dans les Spaces
Les équipes de la start-up franco-américaine ont détecté un accès non autorisé à Spaces, la plateforme dédiée au partage et au test d’applications d’IA. Les pirates ont réussi à accéder à des données sensibles, incluant des informations d’authentification, mettant en danger les tokens de nombreux utilisateurs.
Répercussions et risques pour la sécurité des données
Cette brèche de sécurité constitue un risque majeur pour les utilisateurs. Bien que l’étendue exacte de la fuite soit encore indéterminée, la compromission des tokens pose une menace sérieuse pour la sécurité des données personnelles.
Historique de sécurité problématique
En 2024, Hugging Face a déjà fait face à plusieurs incidents de sécurité. En février, des modèles d’IA malveillants ont été découverts sur la plateforme, suivis d’une faille critique révélée par les chercheurs de Wiz. Cette série d’événements souligne les défis persistants en matière de sécurité pour la plateforme.
Mesures de sécurité et recommandations
En réponse à cette nouvelle violation, Hugging Face a pris des mesures immédiates pour limiter les dommages et renforcer la sécurité à long terme. Les utilisateurs sont invités à renouveler leurs tokens manuellement et à opter pour des mesures de sécurité avancées pour protéger l’accès à leurs données.
Pour sécuriser davantage l’infrastructure de Spaces, Hugging Face a mis en place des mesures telles que la révocation des tokens compromis, l’implémentation d’un KMS pour les données sensibles, et la suppression des tokens d’organisation visés par l’attaque.
Enfin, l’entreprise a informé les autorités compétentes de cette intrusion, affirmant ainsi son engagement à protéger les droits des utilisateurs et utilisatrices.