Pelanggaran Data Mercor Mengekspos Biometrik dan Dokumen Identitas

Startup AI Mercor Dilanda Pelanggaran Data Biometrik Besar

Mercor, platform perekrutan dan tenaga kerja berbasis AI yang bernilai $10 miliar, mengalami pelanggaran data signifikan yang mengekspos sebagian data pribadi paling sensitif yang bisa dibayangkan: dokumen identitas yang dikeluarkan pemerintah, biometrik wajah, dan biometrik suara milik penggunanya. Pelanggaran ini mendapat perhatian luas bukan hanya karena sifat data yang dicuri, tetapi juga karena cara kejadiannya dan dampak yang mungkin ditimbulkan bagi individu yang terdampak.

Insiden ini terkait dengan serangan rantai pasok yang menargetkan LiteLLM, sebuah pustaka sumber terbuka yang banyak digunakan dan membantu para pengembang mengintegrasikan model bahasa besar ke dalam aplikasi mereka. Ketika sebuah dependensi yang begitu mendasar disusupi, kerusakannya dapat merambat ke puluhan atau ratusan perusahaan yang mengandalkannya. Dalam kasus ini, Mercor tampaknya termasuk di antara para korban. Kelompok peretas TeamPCP dan Lapsus$ telah dikaitkan dengan serangan tersebut. Lapsus$ adalah kelompok dengan rekam jejak yang terdokumentasi dengan baik dalam melakukan intrusi terhadap perusahaan-perusahaan teknologi besar.

Meta, yang sebelumnya bekerja sama dengan Mercor, dilaporkan telah menghentikan sementara kemitraan tersebut setelah berita pelanggaran ini mencuat.

Mengapa Pelanggaran Data Biometrik Sangat Berbahaya

Tidak semua pelanggaran data membawa risiko yang sama. Ketika kata sandi dicuri, Anda bisa menggantinya. Ketika nomor kartu kredit terekspos, bank dapat menerbitkan yang baru. Data biometrik berbeda. Wajah, suara, dan sidik jari Anda tidak bisa diterbitkan ulang. Begitu data itu bocor, ia bocor selamanya.

Inilah yang membuat pelanggaran Mercor sangat serius. Biometrik wajah yang dikombinasikan dengan dokumen identitas pemerintah memberikan perangkat yang luar biasa kuat bagi pihak-pihak jahat untuk melakukan penipuan identitas. Lebih khusus lagi, hal ini menciptakan kondisi ideal untuk penipuan deepfake, di mana media sintetis yang dihasilkan oleh AI digunakan untuk menyamar sebagai orang nyata. Para penyerang berpotensi menggunakan gambar wajah dan rekaman suara yang dicuri untuk melewati pemeriksaan verifikasi identitas, membuka akun keuangan palsu, atau menyamar sebagai individu dalam panggilan video dan wawancara.

Teknologi deepfake telah berkembang pesat, dan hambatan untuk menciptakan media sintetis yang meyakinkan telah berkurang secara signifikan. Ketika materi sumber berkualitas tinggi seperti data biometrik seseorang tersedia, hasilnya menjadi semakin meyakinkan dan lebih sulit dideteksi.

Kerentanan Rantai Pasok di Jantung Pelanggaran Ini

Salah satu aspek terpenting dari insiden ini adalah vektor serangan: kompromi rantai pasok. Alih-alih menyerang Mercor secara langsung, para pelaku ancaman menargetkan LiteLLM, sebuah pustaka yang diandalkan oleh Mercor dan banyak perusahaan AI lainnya. Ini adalah strategi serangan yang sudah mapan dan semakin umum.

Serangan rantai pasok sulit untuk dibela karena mengeksploitasi kepercayaan. Ketika sebuah perusahaan mengintegrasikan pustaka sumber terbuka, pada dasarnya perusahaan tersebut mempercayai bahwa kode yang ada bersih. Menyuntikkan kode berbahaya di tingkat pustaka berarti perusahaan mana pun yang mengambil pembaruan bisa secara tidak sengaja memasang pintu belakang atau komponen pemanen data.

Pelanggaran ini menjadi pengingat bahwa postur keamanan sebuah organisasi hanya sekuat tautan terlemah dalam dependensi perangkat lunaknya. Bagi pengguna, hal ini menyoroti bahwa data Anda bisa terancam oleh keputusan yang dibuat beberapa lapisan jauh dari perusahaan yang sebenarnya Anda berikan data tersebut.

Apa Artinya Ini Bagi Anda

Jika Anda telah menggunakan platform Mercor dan menyerahkan dokumen verifikasi identitas atau berpartisipasi dalam pengumpulan data biometrik apa pun, Anda harus menganggap data identitas Anda berpotensi telah dikompromikan. Berikut yang bisa Anda lakukan sekarang:

• Pantau penipuan identitas. Atur peringatan bersama bank dan lembaga keuangan Anda, serta periksa laporan kredit Anda untuk aktivitas yang tidak biasa.
• Berhati-hatilah dengan pemeriksaan identitas berbasis video. Jika seseorang mengklaim menjadi Anda dalam konteks verifikasi video, klaim tersebut kini lebih mudah dipalsukan menggunakan alat deepfake.
• Waspadai kontak yang tidak diminta. Penipu yang memiliki data identitas Anda mungkin akan mencoba serangan phishing yang tampak sangat sah karena mereka sudah mengetahui detail tentang Anda.
• Batasi berbagi data biometrik ke depannya. Bersikaplah selektif mengenai layanan mana yang Anda berikan pemindaian wajah, rekaman suara, atau KTP. Tanyakan apakah layanan tersebut benar-benar memerlukan tingkat data tersebut.
• Gunakan kredensial yang kuat dan unik di mana-mana. Meskipun kata sandi saja tidak dapat melindungi data biometrik, mengurangi keseluruhan permukaan serangan Anda selalu bermanfaat.
• Enkripsi komunikasi Anda. Menggunakan VPN saat terhubung ke layanan, terutama melalui jaringan publik atau yang tidak tepercaya, mengurangi risiko intersepsi data tambahan.

Pelanggaran Mercor adalah ilustrasi nyata mengapa penyimpanan terpusat dari data biometrik yang sangat sensitif menciptakan risiko yang terkonsentrasi. Ketika satu perusahaan menyimpan pemindaian wajah, sidik suara, dan dokumen identitas milik sejumlah besar orang, satu serangan yang berhasil dapat menimbulkan konsekuensi yang berlangsung selama bertahun-tahun.

Tetap terinformasi tentang pelanggaran yang memengaruhi layanan yang Anda gunakan, memahami data apa yang telah Anda bagikan ke platform mana, dan mengambil pendekatan proaktif terhadap identitas digital Anda adalah beberapa langkah paling praktis yang bisa Anda ambil. Pelanggaran data tidak akan menghilang, tetapi semakin banyak yang Anda ketahui tentang di mana informasi paling sensitif Anda berada, semakin siap Anda untuk merespons ketika sesuatu berjalan salah.