Wie haben sich die Angreifer Zugang zu Mercors Daten verschafft?

Die Angreifer nutzten einen Supply-Chain-Angriff, indem sie LiteLLM ins Visier nahmen – eine Open-Source-Bibliothek, auf die Mercor und andere KI-Unternehmen angewiesen sind – anstatt Mercor direkt anzugreifen.

Welche Hackergruppen wurden mit dem Angriff in Verbindung gebracht?

Die Hackergruppen TeamPCP und Lapsus$ wurden mit dem Angriff in Verbindung gebracht, wobei Lapsus$ eine dokumentierte Geschichte hochkarätiger Einbrüche bei großen Technologieunternehmen aufweist.

Warum gilt der Verlust biometrischer Daten als gefährlicher als der Verlust von Passwörtern oder Kreditkartennummern?

Im Gegensatz zu Passwörtern oder Kreditkartennummern können biometrische Daten wie Gesicht, Stimme und Fingerabdrücke nicht geändert oder neu ausgestellt werden, was bedeutet, dass die Daten nach ihrer Offenlegung dauerhaft kompromittiert sind.

Wie hat Meta auf die Mercor-Datenpanne reagiert?

Meta, das mit Mercor zusammengearbeitet hatte, hat seine Partnerschaft mit dem Unternehmen nach Bekanntwerden der Datenpanne Berichten zufolge pausiert.

Mercor-Datenpanne legt biometrische Daten und Ausweisdokumente offen

Q: Welche Art von Daten wurde bei der Mercor-Datenpanne offengelegt?

Bei der Datenpanne wurden behördlich ausgestellte Ausweisdokumente, Gesichtsbiometrie und Stimmbiometrie der Mercor-Nutzer offengelegt.

KI-Startup Mercor von massivem biometrischen Datenleck betroffen

Mercor, eine KI-gestützte Recruiting- und Personalplattform mit einem Wert von 10 Milliarden US-Dollar, hat eine schwerwiegende Datenpanne erlitten, bei der einige der sensibelsten personenbezogenen Daten überhaupt offengelegt wurden: behördlich ausgestellte Ausweisdokumente, Gesichtsbiometrie und Stimmbiometrie der Nutzer. Der Vorfall hat weitreichende Aufmerksamkeit erregt – nicht nur wegen der Art der gestohlenen Daten, sondern auch wegen der Umstände, unter denen er sich ereignete, und der möglichen Folgen für die betroffenen Personen.

Der Vorfall steht im Zusammenhang mit einem Supply-Chain-Angriff auf LiteLLM, einer weit verbreiteten Open-Source-Bibliothek, die Entwicklern hilft, große Sprachmodelle in ihre Anwendungen zu integrieren. Wenn eine so grundlegende Abhängigkeit kompromittiert wird, können sich die Schäden auf Dutzende oder Hunderte von Unternehmen ausbreiten, die auf sie angewiesen sind. In diesem Fall scheint Mercor zu den Opfern zu gehören. Die Hackergruppen TeamPCP und Lapsus$ wurden mit dem Angriff in Verbindung gebracht. Lapsus$ ist eine Gruppe mit einer gut dokumentierten Geschichte hochkarätiger Einbrüche bei großen Technologieunternehmen.

Meta, das mit Mercor zusammengearbeitet hatte, hat die Partnerschaft nach Bekanntwerden der Datenpanne Berichten zufolge pausiert.

Warum Datenpannen mit biometrischen Daten besonders gefährlich sind

Nicht alle Datenpannen sind gleich riskant. Wenn ein Passwort gestohlen wird, kann man es ändern. Wenn eine Kreditkartennummer offengelegt wird, kann die Bank eine neue ausstellen. Biometrische Daten sind anders. Ihr Gesicht, Ihre Stimme und Ihre Fingerabdrücke können nicht neu ausgestellt werden. Sobald diese Daten in fremde Hände geraten, ist das dauerhaft.

Genau das macht die Mercor-Datenpanne besonders ernst. Gesichtsbiometrie in Kombination mit amtlichen Ausweisdokumenten gibt Kriminellen ein außerordentlich mächtiges Werkzeug für Identitätsbetrug in die Hand. Konkret schaffen sie ideale Voraussetzungen für Deepfake-Betrug, bei dem durch KI erzeugte synthetische Medien genutzt werden, um echte Personen zu imitieren. Angreifer könnten gestohlene Gesichtsbilder und Stimmaufnahmen potenziell nutzen, um Identitätsüberprüfungen zu bestehen, betrügerische Finanzkonten zu eröffnen oder Personen in Videoanrufen und Vorstellungsgesprächen zu imitieren.

Die Deepfake-Technologie hat sich rasant weiterentwickelt, und die Hürde zur Erstellung überzeugender synthetischer Medien ist erheblich gesunken. Wenn hochwertiges Ausgangsmaterial wie die echten biometrischen Daten einer Person verfügbar ist, werden die Ergebnisse noch überzeugender und schwerer zu erkennen.

Die Supply-Chain-Schwachstelle im Zentrum dieser Datenpanne

Einer der wichtigsten Aspekte dieses Vorfalls ist der Angriffsvektor: eine Supply-Chain-Kompromittierung. Anstatt Mercor direkt anzugreifen, nahmen die Bedrohungsakteure LiteLLM ins Visier – eine Bibliothek, auf die Mercor und viele andere KI-Unternehmen angewiesen sind. Dies ist eine bewährte und zunehmend verbreitete Angriffsstrategie.

Supply-Chain-Angriffe sind schwer abzuwehren, weil sie Vertrauen ausnutzen. Wenn ein Unternehmen eine Open-Source-Bibliothek integriert, vertraut es grundsätzlich darauf, dass der Code sauber ist. Das Einschleusen von Schadcode auf Bibliotheksebene bedeutet, dass jedes Unternehmen, das Updates einspielt, unbeabsichtigt eine Hintertür oder eine Datensammelkomponente installieren könnte.

Diese Datenpanne ist eine Erinnerung daran, dass die Sicherheitslage einer Organisation nur so stark ist wie das schwächste Glied in ihren Softwareabhängigkeiten. Für Nutzer verdeutlicht es, dass ihre Daten durch Entscheidungen gefährdet werden können, die mehrere Ebenen entfernt von dem Unternehmen getroffen wurden, dem sie ihre Daten tatsächlich übergeben haben.

Was das für Sie bedeutet

Wenn Sie die Mercor-Plattform genutzt und Ausweisdokumente zur Identitätsprüfung eingereicht oder an einer biometrischen Datenerfassung teilgenommen haben, sollten Sie Ihre Identitätsdaten als möglicherweise kompromittiert betrachten. Folgendes können Sie jetzt tun:

Überwachen Sie sich auf Identitätsbetrug. Richten Sie Benachrichtigungen bei Ihrer Bank und Ihren Finanzinstituten ein und überprüfen Sie Ihre Kreditberichte auf ungewöhnliche Aktivitäten.
Seien Sie vorsichtig bei videobasierten Identitätsprüfungen. Wenn jemand behauptet, Sie in einem Video-Verifizierungskontext zu sein, ist diese Behauptung nun mit Deepfake-Tools leichter zu fälschen.
Hinterfragen Sie unaufgeforderte Kontaktaufnahmen. Betrüger mit Ihren Ausweisdaten könnten Phishing-Angriffe versuchen, die ungewöhnlich legitim wirken, weil sie bereits Details über Sie kennen.
Schränken Sie die Weitergabe biometrischer Daten künftig ein. Überlegen Sie sorgfältig, welchen Diensten Sie Gesichtsscans, Stimmaufnahmen oder Ausweisdokumente zur Verfügung stellen. Fragen Sie, ob der Dienst wirklich dieses Datenniveau benötigt.
Verwenden Sie überall starke, einzigartige Anmeldedaten. Auch wenn Passwörter allein keine biometrischen Daten schützen können, lohnt es sich stets, die eigene Angriffsfläche zu verringern.
Verschlüsseln Sie Ihre Kommunikation. Die Nutzung eines VPN beim Verbinden mit Diensten, insbesondere über öffentliche oder nicht vertrauenswürdige Netzwerke, verringert das Risiko zusätzlicher Datenabfangung.

Die Mercor-Datenpanne ist ein deutliches Beispiel dafür, warum die zentrale Speicherung hochsensibler biometrischer Daten konzentrierte Risiken schafft. Wenn ein einziges Unternehmen Gesichtsscans, Stimmabdrücke und Ausweisdokumente einer großen Anzahl von Personen speichert, kann ein einziger erfolgreicher Angriff Folgen haben, die jahrelang andauern.

Sich über Datenpannen zu informieren, die die genutzten Dienste betreffen, zu verstehen, welche Daten man mit welchen Plattformen geteilt hat, und einen proaktiven Umgang mit der eigenen digitalen Identität zu pflegen, gehören zu den praktischsten Maßnahmen, die man ergreifen kann. Datenpannen werden nicht verschwinden, aber je mehr Sie darüber wissen, wo Ihre sensibelsten Informationen gespeichert sind, desto besser sind Sie aufgestellt, um zu reagieren, wenn etwas schiefläuft.

KI-Startup Mercor von massivem biometrischen Datenleck betroffen

Warum Datenpannen mit biometrischen Daten besonders gefährlich sind

Die Supply-Chain-Schwachstelle im Zentrum dieser Datenpanne

Was das für Sie bedeutet

// FAQ

// Verwandt