Xakep #305. Многошаговые SQL-инъекции
Министерство юстиции США обнародовало обвинительное заключение против 38-летнего Линвея (Леона) Динга, бывшего инженера-программиста Google, который подозревается в краже коммерческих ИИ-секретов Google и передаче этой информации компаниям в Китае.
В документах утверждается, что Динг похитил проприетарную информацию об ИИ-технологиях Google и передал ее двум компаниям, базирующимся в Китае, в которых он тайно работал.
По данным Министерства юстиции США, Динг начал работать инженером-программистом в Google в 2019 году, а 21 мая 2022 года он приступил к загрузке проприетарных данных компании в свой личный аккаунт Google Cloud. Этот процесс длился почти год, и в результате было похищено более 500 файлов.
Чтобы как-то замаскировать свои действия, Динг копировал исходные файлы в Apple Notes на своем ноутбуке, предоставленном ему Google, преобразовывал их в PDF-файлы, после чего загружал их в свой аккаунт Google Cloud.
Считается, что украденная коммерческая тайна связана с важнейшими технологиями, лежащими в основе новейших суперкомпьютерных дата-центров Google, которые необходимы для обучения и размещения LLM.
В обвинительном заключении сказано, что Динг похитил служебную информацию о различных аппаратных и программных платформах, включая:
- данные об архитектуре и функциональности чипов и систем GPU и TPU;.
- программное обеспечение, позволяющее этим чипам взаимодействовать и выполнять задачи;
- данные о CMS (Cluster Management System), которая объединяет тысячи чипов в суперкомпьютер, способный работать с технологиями машинного обучения и искусственного интеллекта.
Согласно обвинительному заключению, Динг передал украденные файлы с конфиденциальной информацией в Китай. В частности файлы были переданы компании, занимающейся разработкой ИИ, с которой Динг оказался связан — он занимал там должность директора по технологиям. Также информация попала в руки второй компании под названием Shanghai Zhisuan Technology Co, которую основал сам Динг.
Подчеркивается, что Динг не сообщал Google о своих связях с этими компаниями и не рассказывал о своих поездках в Китай, в ходе которых он встречался с инвесторами. Вместо этого Динг попросил своего коллегу периодически сканировать его бейдж на входе, чтобы создать видимость того, что он работает и находится в американском офисе Google (тогда как на самом деле он находился в Китае).
Даже после того, как в Google обнаружили утечку и несанкционированную передачу данных на сторону, Динг солгал следователям компании, заявив, что просто загружал файлы в свой личный аккаунт для работы. Также он подписал заявление, в котором утверждалось, что он навсегда удалил всю конфиденциальную информацию Google, не связанную с его работой. Что тоже было ложью.
Сообщается, что Линвея Динга арестовали 5 марта 2024 года, и теперь ему грозит наказание в виде 10 лет лишения свободы и штраф в размере до 250 000 долларов за каждый пункт обвинения в хищении коммерческой тайны (то есть около 1 000 000 долларов в общей сложности).