Como é que os atacantes obtiveram acesso aos dados da Mercor?

Os atacantes utilizaram um ataque à cadeia de fornecimento ao visarem o LiteLLM, uma biblioteca de código aberto da qual a Mercor e outras empresas de IA dependem, em vez de atacar a Mercor diretamente.

Quais os grupos de hackers implicados no ataque?

Os grupos de hackers TeamPCP e Lapsus$ foram implicados, sendo que o Lapsus$ tem um historial documentado de intrusões de alto perfil contra grandes empresas tecnológicas.

Por que razão a perda de dados biométricos é considerada mais perigosa do que a perda de palavras-passe ou números de cartão de crédito?

Ao contrário de palavras-passe ou números de cartão de crédito, os dados biométricos como o rosto, a voz e as impressões digitais não podem ser alterados nem reemitidos, o que significa que, uma vez expostos, ficam permanentemente comprometidos.

O que fez a Meta em resposta à violação da Mercor?

A Meta, que tinha estado a trabalhar com a Mercor, suspendeu alegadamente a sua parceria com a empresa na sequência da notícia da violação.

Violação de Dados da Mercor Expõe Biometria e Documentos de Identidade

Q: Que tipo de dados foram expostos na violação da Mercor?

A violação expôs documentos de identidade emitidos por entidades governamentais, biometria facial e biometria de voz pertencentes aos utilizadores da Mercor.

Startup de IA Mercor Atingida por Grande Violação de Dados Biométricos

A Mercor, uma plataforma de recrutamento e força de trabalho com inteligência artificial avaliada em 10 mil milhões de dólares, sofreu uma grave violação de dados que expôs alguns dos dados pessoais mais sensíveis imagináveis: documentos de identidade emitidos por entidades governamentais, biometria facial e biometria de voz pertencentes aos seus utilizadores. O incidente atraiu atenção generalizada não apenas pela natureza dos dados roubados, mas pela forma como ocorreu e pelas consequências que poderá ter para os indivíduos afetados.

O incidente está associado a um ataque à cadeia de fornecimento direcionado ao LiteLLM, uma biblioteca de código aberto amplamente utilizada que ajuda os programadores a integrar grandes modelos de linguagem nas suas aplicações. Quando uma dependência tão fundamental é comprometida, os danos podem propagar-se por dezenas ou centenas de empresas que dependem dela. Neste caso, a Mercor parece estar entre as vítimas. Os grupos de hackers TeamPCP e Lapsus$ foram implicados no ataque. O Lapsus$ é um grupo com um historial bem documentado de intrusões de alto perfil contra grandes empresas tecnológicas.

A Meta, que tinha estado a trabalhar com a Mercor, suspendeu alegadamente essa parceria na sequência da notícia da violação.

Por Que as Violações de Dados Biométricos São Especialmente Perigosas

Nem todas as violações de dados acarretam o mesmo risco. Quando uma palavra-passe é roubada, é possível alterá-la. Quando um número de cartão de crédito é exposto, o banco pode emitir um novo. Os dados biométricos são diferentes. O seu rosto, a sua voz e as suas impressões digitais não podem ser reemitidos. Uma vez que esses dados sejam divulgados, ficam expostos de forma permanente.

É isto que torna a violação da Mercor particularmente grave. A biometria facial combinada com documentos de identidade governamentais confere aos agentes maliciosos um conjunto de ferramentas extraordinariamente poderoso para a fraude de identidade. Mais especificamente, criam condições ideais para a fraude por deepfake, em que meios de comunicação sintéticos gerados por inteligência artificial são utilizados para se fazer passar por pessoas reais. Os atacantes poderiam potencialmente usar imagens faciais e gravações de voz roubadas para passar em verificações de identidade, abrir contas financeiras fraudulentas ou fazer-se passar por indivíduos em videochamadas e entrevistas.

A tecnologia de deepfake evoluiu rapidamente e a barreira para criar meios de comunicação sintéticos convincentes diminuiu significativamente. Quando estão disponíveis materiais de origem de alta qualidade, como os dados biométricos reais de uma pessoa, os resultados tornam-se ainda mais convincentes e mais difíceis de detetar.

A Vulnerabilidade da Cadeia de Fornecimento no Centro desta Violação

Um dos aspetos mais importantes deste incidente é o vetor de ataque: um comprometimento da cadeia de fornecimento. Em vez de atacar a Mercor diretamente, os agentes da ameaça visaram o LiteLLM, uma biblioteca da qual a Mercor e muitas outras empresas de IA dependem. Trata-se de uma estratégia de ataque bem estabelecida e cada vez mais comum.

Os ataques à cadeia de fornecimento são difíceis de defender porque exploram a confiança. Quando uma empresa integra uma biblioteca de código aberto, está inerentemente a confiar que o código é seguro. Injetar código malicioso ao nível da biblioteca significa que qualquer empresa que incorpore atualizações pode instalar inadvertidamente uma porta traseira ou um componente de recolha de dados.

Esta violação serve de alerta para que a postura de segurança de uma organização é apenas tão forte quanto o elo mais fraco nas suas dependências de software. Para os utilizadores, sublinha que os seus dados podem ser colocados em risco por decisões tomadas a vários níveis de distância da empresa à qual realmente entregou esses dados.

O Que Isto Significa Para Si

Se utilizou a plataforma da Mercor e submeteu documentos de verificação de identidade ou participou em qualquer recolha de dados biométricos, deve considerar os seus dados de identidade como potencialmente comprometidos. Eis o que pode fazer agora mesmo:

Monitorize atividades de fraude de identidade. Configure alertas no seu banco e instituições financeiras e verifique os seus relatórios de crédito para detetar atividades suspeitas.
Seja cauteloso com verificações de identidade baseadas em vídeo. Se alguém afirmar ser você num contexto de verificação por vídeo, essa afirmação é agora mais fácil de falsificar utilizando ferramentas de deepfake.
Questione contactos não solicitados. Fraudadores com os seus dados de identidade podem tentar ataques de phishing que parecem invulgarmente legítimos porque já conhecem detalhes sobre si.
Limite a partilha de dados biométricos no futuro. Seja seletivo quanto aos serviços aos quais fornece digitalizações faciais, gravações de voz ou documentos de identidade governamentais. Questione se o serviço realmente necessita desse nível de dados.
Utilize credenciais fortes e únicas em todo o lado. Embora as palavras-passe por si só não possam proteger dados biométricos, reduzir a sua superfície de ataque global é sempre útil.
Encripte as suas comunicações. Utilizar uma VPN ao ligar-se a serviços, especialmente em redes públicas ou não confiáveis, reduz o risco de interceção adicional de dados.

A violação da Mercor é uma ilustração clara de por que o armazenamento centralizado de dados biométricos altamente sensíveis cria um risco concentrado. Quando uma única empresa detém digitalizações faciais, registos de voz e documentos de identidade de um grande número de pessoas, um único ataque bem-sucedido pode ter consequências que perduram durante anos.

Manter-se informado sobre violações que afetam os serviços que utiliza, compreender que dados partilhou com cada plataforma e adotar uma abordagem proativa em relação à sua identidade digital estão entre as medidas mais práticas que pode tomar. As violações de dados não vão desaparecer, mas quanto mais souber sobre onde vivem as suas informações mais sensíveis, melhor posicionado estará para responder quando algo correr mal.

Startup de IA Mercor Atingida por Grande Violação de Dados Biométricos

Por Que as Violações de Dados Biométricos São Especialmente Perigosas

A Vulnerabilidade da Cadeia de Fornecimento no Centro desta Violação

O Que Isto Significa Para Si

// FAQ

// Relacionados