Únik dat u společnosti Mercor odhalil biometrické údaje a doklady totožnosti

Startup Mercor v oblasti umělé inteligence zasažen rozsáhlým únikem biometrických dat

Společnost Mercor, platforma pro nábor zaměstnanců a pracovní sílu s využitím umělé inteligence oceněná na 10 miliard dolarů, utrpěla závažný únik dat, který odhalil některé z nejcitlivějších osobních údajů, jaké si lze představit: státem vydané doklady totožnosti, obličejové biometrické údaje a hlasové biometrické údaje patřící jejím uživatelům. Incident si získal širokou pozornost nejen kvůli povaze odcizených dat, ale také kvůli způsobu, jakým k němu došlo, a kvůli možným důsledkům pro postižené osoby.

Incident je spojen s útokem na dodavatelský řetězec zaměřeným na LiteLLM, široce používanou open-source knihovnu, která vývojářům pomáhá integrovat velké jazykové modely do jejich aplikací. Pokud je kompromitována závislost tak zásadní povahy, škody se mohou rozšířit na desítky nebo stovky společností, které na ní spoléhají. V tomto případě se zdá, že Mercor patří mezi oběti. Do útoku byly zapojeny hackerské skupiny TeamPCP a Lapsus$. Skupina Lapsus$ má dobře zdokumentovanou historii vysoce profilovaných průniků do systémů velkých technologických společností.

Společnost Meta, která se společností Mercor spolupracovala, údajně toto partnerství po zprávách o úniku dat pozastavila.

Proč jsou úniky biometrických dat zvláště nebezpečné

Ne všechny úniky dat nesou stejné riziko. Pokud je odcizeno heslo, můžete si ho změnit. Pokud je odhaleno číslo kreditní karty, banka vydá novou. Biometrické údaje jsou jiné. Váš obličej, váš hlas a vaše otisky prstů nelze znovu vydat. Jakmile jsou tato data venku, jsou venku natrvalo.

Právě to činí únik dat u společnosti Mercor zvláště závažným. Obličejové biometrické údaje v kombinaci s doklady totožnosti vydanými státem poskytují škodlivým aktérům mimořádně mocnou sadu nástrojů pro podvody s identitou. Konkrétněji řečeno, vytvářejí ideální podmínky pro deepfake podvody, kdy jsou syntetická média generovaná umělou inteligencí využívána k vydávání se za skutečné osoby. Útočníci by mohli potenciálně použít odcizené obrázky obličejů a hlasové nahrávky k překonání kontrol ověření identity, k otevírání podvodných finančních účtů nebo k vydávání se za jiné osoby při videhovorech a pohovorech.

Technologie deepfake se rychle vyvíjí a překážka pro vytváření přesvědčivých syntetických médií výrazně klesla. Pokud jsou k dispozici vysoce kvalitní zdrojové materiály, jako jsou skutečné biometrické údaje dané osoby, výsledky jsou ještě přesvědčivější a hůře odhalitelné.

Zranitelnost dodavatelského řetězce v centru tohoto úniku

Jedním z nejdůležitějších aspektů tohoto incidentu je vektor útoku: kompromitace dodavatelského řetězce. Místo přímého útoku na Mercor zaměřili hrozební aktéři svou pozornost na LiteLLM, knihovnu, na níž závisí Mercor i mnoho dalších společností v oblasti umělé inteligence. Jedná se o dobře zavedenou a stále běžnější útočnou strategii.

Útoky na dodavatelský řetězec je obtížné odrazit, protože zneužívají důvěru. Když společnost integruje open-source knihovnu, implicitně důvěřuje tomu, že kód je čistý. Vložení škodlivého kódu na úrovni knihovny znamená, že jakákoli společnost stahující aktualizace by mohla neúmyslně nainstalovat zadní vrátka nebo komponentu pro sběr dat.

Tento únik dat připomíná, že bezpečnostní postoj organizace je silný jen natolik, nakolik je silný nejslabší článek v jejích softwarových závislostech. Pro uživatele to zdůrazňuje, že vaše data mohou být ohrožena rozhodnutími přijatými v několika vrstvách vzdálených od společnosti, které jste tato data skutečně svěřili.

Co to znamená pro vás

Pokud jste používali platformu Mercor a předložili doklady pro ověření totožnosti nebo se zúčastnili jakéhokoli sběru biometrických dat, měli byste své údaje o identitě považovat za potenciálně kompromitované. Zde je to, co můžete udělat hned teď:

• Sledujte podvody s identitou. Nastavte si upozornění u své banky a finančních institucí a zkontrolujte své úvěrové zprávy na neobvyklou aktivitu.
• Buďte opatrní při ověřování identity prostřednictvím videa. Pokud se někdo vydává za vás v kontextu video ověření, je nyní snazší toto napodobení zfalšovat pomocí nástrojů deepfake.
• Zpochybňujte nevyžádaný kontakt. Podvodníci s vašimi údaji totožnosti se mohou pokoušet o phishingové útoky, které se zdají neobvykle legitimní, protože o vás již znají určité podrobnosti.
• Omezte sdílení biometrických dat v budoucnu. Buďte selektivní ohledně toho, kterým službám poskytujete skenování obličeje, hlasové nahrávky nebo doklady totožnosti vydané státem. Zeptejte se, zda služba skutečně vyžaduje takovou úroveň dat.
• Používejte všude silné a jedinečné přihlašovací údaje. Přestože samotná hesla nemohou chránit biometrická data, omezení celkové plochy útoku je vždy žádoucí.
• Šifrujte svou komunikaci. Používání VPN při připojování ke službám, zejména přes veřejné nebo nedůvěryhodné sítě, snižuje riziko dalšího zachycení dat.

Únik dat u společnosti Mercor je jasnou ukázkou toho, proč centralizované ukládání vysoce citlivých biometrických dat vytváří soustředěné riziko. Když jedna společnost uchovává skeny obličejů, hlasové otisky a doklady totožnosti velkého počtu lidí, jediný úspěšný útok může mít důsledky trvající roky.

Být informován o únicích dat, které ovlivňují služby, jež používáte, chápat, jaká data jste sdíleli s jakými platformami, a zaujmout proaktivní přístup ke své digitální identitě patří k nejpraktičtějším krokům, které můžete podniknout. Úniky dat nezmizí, ale čím více toho víte o tom, kde se nacházejí vaše nejcitlivější informace, tím lépe jste připraveni reagovat, když se něco pokazí.