Naruszenie danych Mercor ujawnia dane biometryczne i dokumenty tożsamości

Startup AI Mercor ofiarą poważnego naruszenia danych biometrycznych

Mercor, platforma rekrutacyjna i kadrowa oparta na sztucznej inteligencji, wyceniana na 10 miliardów dolarów, doznała poważnego naruszenia danych, które ujawniło niektóre z najbardziej wrażliwych danych osobowych, jakie można sobie wyobrazić: wydane przez rząd dokumenty tożsamości, biometrię twarzy oraz biometrię głosu należące do jej użytkowników. Incydent wzbudził szerokie zainteresowanie nie tylko ze względu na charakter skradzionych danych, ale także ze względu na sposób, w jaki do tego doszło, oraz możliwe konsekwencje dla osób poszkodowanych.

Zdarzenie jest powiązane z atakiem na łańcuch dostaw wymierzonym w LiteLLM, powszechnie stosowaną bibliotekę open-source, która pomaga programistom integrować duże modele językowe z ich aplikacjami. Gdy tak fundamentalna zależność zostaje naruszona, szkody mogą rozlać się na dziesiątki lub setki firm, które na niej polegają. W tym przypadku Mercor wydaje się być jedną z ofiar. Do ataku powiązano grupy hakerskie TeamPCP i Lapsus$. Lapsus$ to grupa z dobrze udokumentowaną historią głośnych włamań do głównych firm technologicznych.

Meta, która współpracowała z Mercorem, podobno zawiesiła to partnerstwo po ujawnieniu informacji o naruszeniu.

Dlaczego naruszenia danych biometrycznych są szczególnie niebezpieczne

Nie wszystkie naruszenia danych niosą ze sobą takie samo ryzyko. Gdy skradzione zostaje hasło, można je zmienić. Gdy ujawniony zostaje numer karty kredytowej, bank może wydać nową. Dane biometryczne są inne. Twojej twarzy, głosu ani odcisków palców nie można ponownie wydać. Gdy te dane wyciekną, wyciekają na zawsze.

To właśnie sprawia, że naruszenie danych Mercoru jest szczególnie poważne. Biometria twarzy w połączeniu z rządowymi dokumentami tożsamości daje przestępcom niezwykle potężne narzędzia do kradzieży tożsamości. Dokładniej rzecz ujmując, tworzą one idealne warunki do oszustw z użyciem deepfake'ów, w których syntetyczne media generowane przez sztuczną inteligencję są wykorzystywane do podszywania się pod prawdziwe osoby. Atakujący mogliby potencjalnie używać skradzionych zdjęć twarzy i nagrań głosowych, aby przejść weryfikację tożsamości, otwierać fałszywe konta finansowe lub podszywać się pod osoby podczas rozmów wideo i rekrutacji.

Technologia deepfake szybko się rozwija, a bariera tworzenia przekonujących syntetycznych mediów znacznie się obniżyła. Gdy dostępny jest wysokiej jakości materiał źródłowy, taki jak prawdziwe dane biometryczne osoby, wyniki stają się jeszcze bardziej przekonujące i trudniejsze do wykrycia.

Podatność łańcucha dostaw w centrum tego naruszenia

Jednym z najważniejszych aspektów tego incydentu jest wektor ataku: kompromitacja łańcucha dostaw. Zamiast atakować Mercor bezpośrednio, sprawcy zaatakowali LiteLLM, bibliotekę, od której zależy Mercor i wiele innych firm z branży AI. To dobrze znana i coraz powszechniejsza strategia ataku.

Ataki na łańcuch dostaw są trudne do obrony, ponieważ wykorzystują zaufanie. Gdy firma integruje bibliotekę open-source, z założenia ufa, że kod jest czysty. Wstrzyknięcie złośliwego kodu na poziomie biblioteki oznacza, że każda firma pobierająca aktualizacje może nieświadomie zainstalować backdoor lub komponent zbierający dane.

To naruszenie jest przypomnieniem, że poziom bezpieczeństwa organizacji jest tak silny, jak najsłabsze ogniwo w jej zależnościach programistycznych. Dla użytkowników podkreśla to, że Twoje dane mogą być zagrożone przez decyzje podejmowane na kilku poziomach oddalonych od firmy, której te dane faktycznie powierzyłeś.

Co to oznacza dla Ciebie

Jeśli korzystałeś z platformy Mercor i przesłałeś dokumenty weryfikacji tożsamości lub uczestniczyłeś w jakimkolwiek procesie zbierania danych biometrycznych, powinieneś traktować swoje dane tożsamości jako potencjalnie skompromitowane. Oto, co możesz zrobić teraz:

• Monitoruj pod kątem kradzieży tożsamości. Skonfiguruj alerty w swoim banku i instytucjach finansowych oraz sprawdzaj raporty kredytowe pod kątem podejrzanej aktywności.
• Zachowaj ostrożność podczas weryfikacji wideo. Jeśli ktoś twierdzi, że jest Tobą w kontekście weryfikacji wideo, takie twierdzenie jest teraz łatwiejsze do sfałszowania przy użyciu narzędzi deepfake.
• Kwestionuj niezamówiony kontakt. Oszuści posiadający Twoje dane tożsamości mogą próbować przeprowadzać ataki phishingowe, które wyglądają wyjątkowo wiarygodnie, ponieważ znają już szczegóły na Twój temat.
• Ogranicz udostępnianie danych biometrycznych w przyszłości. Bądź selektywny w kwestii tego, którym usługom udostępniasz skany twarzy, nagrania głosowe lub dokumenty tożsamości. Zapytaj, czy dana usługa rzeczywiście wymaga takich danych.
• Używaj silnych, unikalnych danych uwierzytelniających wszędzie. Chociaż same hasła nie mogą chronić danych biometrycznych, zmniejszenie ogólnej powierzchni ataku jest zawsze opłacalne.
• Szyfruj swoją komunikację. Korzystanie z VPN podczas łączenia się z usługami, szczególnie przez publiczne lub niezaufane sieci, zmniejsza ryzyko przechwycenia dodatkowych danych.

Naruszenie danych Mercoru jest wyraźną ilustracją tego, dlaczego centralne przechowywanie wysoce wrażliwych danych biometrycznych tworzy skoncentrowane ryzyko. Gdy jedna firma przechowuje skany twarzy, wzorce głosu i dokumenty tożsamości dużej liczby osób, jeden udany atak może mieć konsekwencje trwające latami.

Śledzenie informacji o naruszeniach dotyczących usług, z których korzystasz, rozumienie, jakie dane udostępniłeś którym platformom, oraz proaktywne podejście do swojej cyfrowej tożsamości należą do najbardziej praktycznych kroków, jakie możesz podjąć. Naruszenia danych nie znikną, ale im więcej wiesz o tym, gdzie przechowywane są Twoje najbardziej wrażliwe informacje, tym lepiej jesteś przygotowany do reagowania, gdy coś pójdzie nie tak.