- Исследователь Алекс Шапиро выявил критическую уязвимость в AI-платформе Filevine стоимостью более $1 млрд.
- API сервиса выдавал полный административный токен к файловому хранилищу юридической фирмы без проверки подлинности запросов.
- В результате потенциально были доступны около 100 тысяч конфиденциальных документов, включая служебные записки и судебные материалы.
Исследователь информационной безопасности Алекс Шапиро обнаружил серьезную уязвимость в Filevine — инновационной платформе для управления юридическими делами с использованием искусственного интеллекта. Поскольку платформа активно используется в сфере LegalTech и оценивается более чем в миллиард долларов, выявленная ошибка имела критическое значение для защиты конфиденциальных данных клиентов.
В ходе анализа работы API Filevine, исследователь обратил внимание на отсутствие механизма проверки подлинности при выдаче административных токенов для доступа к корпоративному файловому хранилищу. Это позволяло с помощью простого запроса получить полный доступ к данным, размещённым в облаке. В числе потенциально уязвимых оказались около 100 тысяч документов юридической фирмы Margolis, включая важные и чувствительные материалы: судебные приказы, внутренние служебные записки и зарплатные ведомости.
Важно отметить, что после выявления масштабов проблемы Алекс Шапиро оперативно прекратил тестирование и уведомил представителей Filevine, что послужило примером ответственного раскрытия уязвимостей (responsible disclosure). Компания в свою очередь достаточно быстро подтвердила наличие проблемы и сумела полностью устранить недостаток безопасности всего за несколько недель — с конца октября по 21 ноября 2025 года.
Filevine — одна из наиболее быстрорастущих платформ в области LegalTech с встраиваемыми инструментами на базе искусственного интеллекта: анализ документов, генерация юридических писем и чат-боты для работы с кейсами. Недавно фирма привлекла 400 млн долларов инвестиций и продолжает демонстрировать значительный рост выручки от AI-сервисов.
В своем отчёте Шапиро подчеркнул важность надёжной защиты данных в условиях стремительного развития AI-продуктов и рекомендовал компаниям тщательно проверять безопасность своих сервисов, особенно если речь идёт о самом конфиденциальном информационном наполнении.
