Компания Hugging Face раскрыла сведения о компрометации инфраструктуры платформы Hugging Face Spaces, предоставляющей инструменты для создания приложений-демонстраций для моделей машинного обучения и поддерживающией каталог подобных приложений. Сотрудники Hugging Face выявили следы несанкционированного доступа к платформе, который мог привести к утечке конфиденциальных данных пользователей, включая ключи и токены. Затронутые утечкой токены отозваны, а пользователям направлено соответствующее уведомление с рекомендацией обновить свои ключи и токены, а также перейти на новые токены, предоставляющие выборочное управление доступом.
Расследование инцидента пока не завершено и детали не раскрываются.
Указано только, что в последние несколько дней компания Hugging Face провела большую работу по усилению безопасности своей инфраструктуры, полностью прекратила использование org-токентов, ввела в строй систему управления ключами (KMS) и задействовала новые инструменты для выявления утечек токенов. На будущее запланировано полное прекращение использования классических токентов с доступом на чтение и запись.