Mercor-datalek legt biometrische gegevens en identiteitsdocumenten bloot

AI-startup Mercor getroffen door groot biometrisch datalek

Mercor, een AI-platform voor werving en personeelsbeheer met een waarde van 10 miljard dollar, heeft een ernstig datalek geleden waarbij enkele van de meest gevoelige persoonsgegevens denkbaar zijn blootgesteld: door de overheid uitgegeven identiteitsdocumenten, gezichtsbiometrie en stembiometrie van gebruikers. Het lek heeft veel aandacht getrokken, niet alleen vanwege de aard van de gestolen gegevens, maar ook vanwege de manier waarop het is gebeurd en wat de gevolgen kunnen zijn voor de getroffen personen.

Het incident is gekoppeld aan een aanval op de toeleveringsketen gericht op LiteLLM, een veelgebruikte open-sourcebibliotheek die ontwikkelaars helpt grote taalmodellen in hun applicaties te integreren. Wanneer een zo fundamentele afhankelijkheid wordt gecompromitteerd, kan de schade zich uitstrekken over tientallen of honderden bedrijven die er gebruik van maken. In dit geval lijkt Mercor een van de slachtoffers te zijn. Hackinggroepen TeamPCP en Lapsus$ zijn in verband gebracht met de aanval. Lapsus$ is een groep met een gedocumenteerde geschiedenis van spraakmakende inbraken bij grote technologiebedrijven.

Meta, dat samenwerkte met Mercor, heeft dat partnerschap naar verluidt opgeschort na het nieuws over het lek.

Waarom biometrische datalekken bijzonder gevaarlijk zijn

Niet alle datalekken brengen hetzelfde risico met zich mee. Wanneer een wachtwoord wordt gestolen, kun je het wijzigen. Wanneer een creditcardnummer wordt blootgesteld, kan de bank een nieuw exemplaar uitgeven. Biometrische gegevens zijn anders. Je gezicht, je stem en je vingerafdrukken kunnen niet opnieuw worden uitgegeven. Zodra die gegevens eenmaal buiten zijn, zijn ze dat permanent.

Dit is wat het Mercor-lek bijzonder ernstig maakt. Gezichtsbiometrie gecombineerd met identiteitsdocumenten geeft kwaadwillenden een buitengewoon krachtig gereedschap voor identiteitsfraude. Meer specifiek creëren ze ideale omstandigheden voor deepfake-fraude, waarbij door AI gegenereerde synthetische media worden gebruikt om echte mensen na te bootsen. Aanvallers zouden mogelijk gestolen gezichtsafbeeldingen en stemopnames kunnen gebruiken om identiteitsverificatiechecks te doorstaan, frauduleuze financiële rekeningen te openen of personen na te doen in videogesprekken en sollicitatiegesprekken.

Deepfake-technologie heeft zich snel ontwikkeld en de drempel voor het maken van overtuigende synthetische media is aanzienlijk gedaald. Wanneer kwalitatief hoogwaardig bronmateriaal zoals echte biometrische gegevens van een persoon beschikbaar is, worden de resultaten nog overtuigender en moeilijker te detecteren.

De kwetsbaarheid in de toeleveringsketen als kern van dit lek

Een van de belangrijkste aspecten van dit incident is de aanvalsvector: een compromittering van de toeleveringsketen. In plaats van Mercor direct aan te vallen, richtten de dreigingsactoren zich op LiteLLM, een bibliotheek waarvan Mercor en vele andere AI-bedrijven afhankelijk zijn. Dit is een bewezen en steeds vaker voorkomende aanvalsstrategie.

Aanvallen op de toeleveringsketen zijn moeilijk te verdedigen omdat ze vertrouwen uitbuiten. Wanneer een bedrijf een open-sourcebibliotheek integreert, vertrouwt het er inherent op dat de code schoon is. Het injecteren van kwaadaardige code op bibliotheeksniveau betekent dat elk bedrijf dat updates ophaalt onbewust een achterdeur of gegevensverzamelende component kan installeren.

Dit lek dient als herinnering dat de beveiliging van een organisatie slechts zo sterk is als de zwakste schakel in haar softwareafhankelijkheden. Voor gebruikers onderstreept het dat uw gegevens in gevaar kunnen worden gebracht door beslissingen die meerdere lagen verwijderd zijn van het bedrijf waaraan u die gegevens daadwerkelijk hebt toevertrouwd.

Wat dit voor u betekent

Als u het platform van Mercor heeft gebruikt en identiteitsverificatiedocumenten heeft ingediend of heeft deelgenomen aan enige vorm van biometrische gegevensverzameling, dient u uw identiteitsgegevens als mogelijk gecompromitteerd te beschouwen. Dit kunt u nu direct doen:

• Houd identiteitsfraude in de gaten. Stel meldingen in bij uw bank en financiële instellingen en controleer uw kredietrapporten op ongewone activiteiten.
• Wees voorzichtig met op video gebaseerde identiteitscontroles. Als iemand beweert u te zijn in een videoverificatiecontext, is die bewering nu eenvoudiger te vervalsen met deepfake-tools.
• Wees kritisch bij ongewenst contact. Fraudeurs met uw identiteitsgegevens kunnen phishingaanvallen proberen die ongewoon legitiem lijken omdat ze al details over u kennen.
• Beperk het delen van biometrische gegevens in de toekomst. Wees selectief over welke diensten u gezichtsscans, stemopnames of identiteitsdocumenten verstrekt. Vraag u af of de dienst werkelijk dat niveau van gegevens vereist.
• Gebruik overal sterke, unieke inloggegevens. Hoewel wachtwoorden alleen biometrische gegevens niet kunnen beschermen, is het altijd de moeite waard uw algehele aanvalsoppervlak te verkleinen.
• Versleutel uw communicatie. Het gebruik van een VPN bij het verbinden met diensten, met name via openbare of onbetrouwbare netwerken, vermindert het risico op extra onderschepping van gegevens.

Het Mercor-lek is een duidelijke illustratie van waarom gecentraliseerde opslag van zeer gevoelige biometrische gegevens geconcentreerd risico met zich meebrengt. Wanneer één bedrijf gezichtsscans, stemafdrukken en identiteitsdocumenten bewaart van een groot aantal mensen, kan één succesvolle aanval gevolgen hebben die jaren aanhouden.

Op de hoogte blijven van lekken die van invloed zijn op diensten die u gebruikt, begrijpen welke gegevens u heeft gedeeld met welke platforms, en een proactieve aanpak hanteren ten aanzien van uw digitale identiteit behoren tot de meest praktische stappen die u kunt nemen. Datalekken zullen niet verdwijnen, maar hoe meer u weet over waar uw meest gevoelige informatie zich bevindt, hoe beter u bent gepositioneerd om te reageren wanneer er iets misgaat.