Povreda podataka tvrtke Mercor otkriva biometrijske podatke i osobne dokumente

AI startup Mercor pogođen velikom povredom biometrijskih podataka

Mercor, AI platforma za zapošljavanje i upravljanje radnom snagom vrednovana na 10 milijardi dolara, doživjela je značajnu povredu podataka koja je otkrila neke od najosjetljivijih osobnih podataka koje možemo zamisliti: osobne dokumente izdane od strane vlade, biometrijske podatke lica i biometrijske podatke glasa koji pripadaju njezinim korisnicima. Incident je privukao široku pozornost ne samo zbog prirode ukradenih podataka, već i zbog načina na koji se to dogodilo i kakve bi posljedice mogle biti za pogođene osobe.

Incident je povezan s napadom na lanac opskrbe koji je ciljao LiteLLM, široko korištenu biblioteku otvorenog koda koja pomaže programerima integrirati velike jezične modele u njihove aplikacije. Kada je ugrožena ovisnost koja je tako temeljne prirode, šteta se može proširiti na desetke ili stotine tvrtki koje se na nju oslanjaju. U ovom slučaju, Mercor se čini jednom od žrtava. U napadu su umješani hakerske grupe TeamPCP i Lapsus$. Lapsus$ je grupa s dobro dokumentiranom poviješću upada visokog profila u velike tehnološke tvrtke.

Meta, koja je surađivala s Mercorom, navodno je pauzirala to partnerstvo nakon vijesti o povredi podataka.

Zašto su povrede biometrijskih podataka posebno opasne

Nisu sve povrede podataka jednako rizične. Kada vam ukradu lozinku, možete je promijeniti. Kada je broj kreditne kartice otkriven, banka može izdati novu. Biometrijski podaci su drugačiji. Vaše lice, vaš glas i vaši otisci prstiju ne mogu se ponovno izdati. Jednom kada ti podaci izađu, izašli su zauvijek.

Upravo to čini povredu podataka tvrtke Mercor posebno ozbiljnom. Biometrijski podaci lica u kombinaciji s osobnim dokumentima izdanim od strane vlade daju zlonamjernim akterima iznimno moćan alat za krađu identiteta. Konkretnije, stvaraju idealne uvjete za deepfake prijevaru, gdje se sintetički medijski sadržaj generiran umjetnom inteligencijom koristi za lažno predstavljanje stvarnih osoba. Napadači bi potencijalno mogli koristiti ukradene fotografije lica i glasovne snimke kako bi prošli provjere identiteta, otvorili lažne financijske račune ili se lažno predstavljali kao pojedinci u video pozivima i razgovorima za posao.

Tehnologija deepfake napredovala je brzo, a prepreka za stvaranje uvjerljivih sintetičkih medija značajno se smanjila. Kada su dostupni visokokvalitetni izvorni materijali poput stvarnih biometrijskih podataka osobe, rezultati postaju još uvjerljiviji i teži za otkrivanje.

Ranjivost lanca opskrbe u središtu ove povrede podataka

Jedan od najvažnijih aspekata ovog incidenta jest vektor napada: kompromitacija lanca opskrbe. Umjesto da napadnu Mercor izravno, prijetnje su ciljale LiteLLM, biblioteku o kojoj Mercor i mnoge druge AI tvrtke ovise. Ovo je dobro poznata i sve češća strategija napada.

Napadi na lanac opskrbe teško je braniti jer iskorištavaju povjerenje. Kada tvrtka integrira biblioteku otvorenog koda, inherentno vjeruje da je kod čist. Ubacivanje zlonamjernog koda na razini biblioteke znači da bi svaka tvrtka koja preuzima ažuriranja mogla nenamjerno instalirati stražnja vrata ili komponentu za prikupljanje podataka.

Ova povreda podataka podsjeća nas da je sigurnosni položaj organizacije samo onoliko jak koliko je jaka najslabija karika u njezinim softverskim ovisnostima. Za korisnike, to naglašava da vaši podaci mogu biti izloženi riziku zbog odluka donesenih nekoliko razina dalje od tvrtke kojoj ste zapravo predali te podatke.

Što to znači za vas

Ako ste koristili platformu Mercor i predali dokumente za provjeru identiteta ili sudjelovali u prikupljanju biometrijskih podataka, trebate svoje identifikacijske podatke tretirati kao potencijalno kompromitiranim. Evo što možete učiniti odmah:

• Pratite znakove krađe identiteta. Postavite upozorenja kod svoje banke i financijskih institucija te provjerite svoja kreditna izvješća za neobičnu aktivnost.
• Budite oprezni s provjerama identiteta putem videa. Ako netko tvrdi da ste to vi u kontekstu video provjere, tu je tvrdnju sada lakše krivotvoriti pomoću deepfake alata.
• Preispitajte neželjene kontakte. Prevaranti koji posjeduju vaše identifikacijske podatke mogu pokušati phishing napade koji izgledaju neobično legitimno jer već znaju pojedinosti o vama.
• Ubuduće ograničite dijeljenje biometrijskih podataka. Budite selektivni u odabiru usluga kojima dajete skenove lica, glasovne snimke ili osobne dokumente. Zapitajte se zahtijeva li usluga doista tu razinu podataka.
• Koristite jake, jedinstvene vjerodajnice svugdje. Iako same lozinke ne mogu zaštititi biometrijske podatke, smanjivanje ukupne površine napada uvijek je vrijedno truda.
• Šifrirajte svoju komunikaciju. Korištenje VPN-a pri spajanju na usluge, posebno putem javnih ili nepouzdanih mreža, smanjuje rizik od dodatnog presretanja podataka.

Povreda podataka tvrtke Mercor jasna je ilustracija zašto centralizirano pohranjivanje visoko osjetljivih biometrijskih podataka stvara koncentrirani rizik. Kada jedna tvrtka posjeduje skenove lica, otiske glasa i identifikacijske dokumente velikog broja ljudi, jedan uspješan napad može imati posljedice koje traju godinama.

Ostajanje informiranim o povredama koje utječu na usluge koje koristite, razumijevanje koji ste podaci i kojim platformama dijelili te proaktivan pristup vašem digitalnom identitetu, spadaju među najpraktičnije korake koje možete poduzeti. Povrede podataka neće nestati, ali što više znate o tome gdje žive vaši najosjetljiviji podaci, to ste bolje pozicionirani za reagiranje kada nešto krene po zlu.