สตาร์ทอัพด้าน AI อย่าง Mercor ถูกโจมตีด้วยการละเมิดข้อมูลไบโอเมตริกซ์ครั้งใหญ่

Mercor แพลตฟอร์มการสรรหาบุคลากรและกำลังคนด้าน AI ที่มีมูลค่า 10,000 ล้านดอลลาร์ ได้ประสบกับการละเมิดข้อมูลครั้งสำคัญที่เปิดเผยข้อมูลส่วนบุคคลที่ละเอียดอ่อนที่สุดเท่าที่จะจินตนาการได้ ได้แก่ เอกสารประจำตัวที่ออกโดยรัฐบาล ข้อมูลไบโอเมตริกซ์ใบหน้า และข้อมูลไบโอเมตริกซ์เสียงของผู้ใช้งาน เหตุการณ์นี้ได้รับความสนใจอย่างกว้างขวาง ไม่เพียงเพราะลักษณะของข้อมูลที่ถูกขโมย แต่ยังเพราะวิธีการที่เกิดขึ้นและผลที่ตามมาที่อาจเกิดกับบุคคลที่ได้รับผลกระทบ

เหตุการณ์นี้เกี่ยวข้องกับการโจมตีห่วงโซ่อุปทานที่มุ่งเป้าไปที่ LiteLLM ซึ่งเป็นไลบรารีโอเพนซอร์สที่ใช้กันอย่างแพร่หลาย ซึ่งช่วยให้นักพัฒนาสามารถรวม large language model เข้ากับแอปพลิเคชันของตน เมื่อการพึ่งพาที่สำคัญระดับนี้ถูกโจมตี ความเสียหายสามารถแพร่กระจายไปยังบริษัทหลายสิบหรือหลายร้อยแห่งที่ต้องพึ่งพาไลบรารีนั้น ในกรณีนี้ Mercor ดูเหมือนจะเป็นหนึ่งในเหยื่อ กลุ่มแฮกเกอร์ TeamPCP และ Lapsus$ ถูกพาดพิงว่ามีส่วนเกี่ยวข้องในการโจมตีครั้งนี้ โดย Lapsus$ เป็นกลุ่มที่มีประวัติที่บันทึกไว้อย่างชัดเจนเกี่ยวกับการบุกรุกครั้งใหญ่ต่อบริษัทเทคโนโลยีชั้นนำ

Meta ซึ่งเคยร่วมงานกับ Mercor ได้รายงานว่าหยุดพักความร่วมมือนั้นหลังจากข่าวการละเมิดข้อมูลแพร่ออกไป

เหตุใดการละเมิดข้อมูลไบโอเมตริกซ์จึงอันตรายเป็นพิเศษ

การละเมิดข้อมูลไม่ได้มีความเสี่ยงเท่ากันทั้งหมด เมื่อรหัสผ่านถูกขโมย คุณสามารถเปลี่ยนมันได้ เมื่อหมายเลขบัตรเครดิตถูกเปิดเผย ธนาคารสามารถออกบัตรใหม่ให้ได้ แต่ข้อมูลไบโอเมตริกซ์แตกต่างออกไป ใบหน้า เสียง และลายนิ้วมือของคุณไม่สามารถออกใหม่ได้ เมื่อข้อมูลนั้นหลุดออกไปแล้ว มันก็หลุดออกไปอย่างถาวร

นี่คือสิ่งที่ทำให้การละเมิดข้อมูลของ Mercor มีความร้ายแรงเป็นพิเศษ ข้อมูลไบโอเมตริกซ์ใบหน้าที่ผสมรวมกับเอกสารประจำตัวที่ออกโดยรัฐบาล ให้ชุดเครื่องมือที่ทรงพลังอย่างยิ่งแก่ผู้กระทำการร้ายสำหรับการฉ้อโกงด้านตัวตน โดยเฉพาะอย่างยิ่ง สิ่งเหล่านี้สร้างเงื่อนไขที่เหมาะสมสำหรับการฉ้อโกงด้วย deepfake ซึ่งสื่อสังเคราะห์ที่สร้างโดย AI ถูกใช้เพื่อแอบอ้างเป็นบุคคลจริง ผู้โจมตีอาจใช้ภาพใบหน้าและการบันทึกเสียงที่ถูกขโมยเพื่อผ่านการตรวจสอบยืนยันตัวตน เปิดบัญชีการเงินปลอม หรือแอบอ้างเป็นบุคคลในการโทรผ่านวิดีโอและการสัมภาษณ์

เทคโนโลยี Deepfake ได้พัฒนาอย่างรวดเร็ว และอุปสรรคในการสร้างสื่อสังเคราะห์ที่น่าเชื่อได้ลดลงอย่างมีนัยสำคัญ เมื่อมีวัสดุต้นฉบับคุณภาพสูง เช่น ข้อมูลไบโอเมตริกซ์ของบุคคลจริง ผลลัพธ์จะยิ่งน่าเชื่อมากขึ้นและตรวจจับได้ยากขึ้น

ช่องโหว่ห่วงโซ่อุปทานที่อยู่ใจกลางของการละเมิดครั้งนี้

หนึ่งในแง่มุมที่สำคัญที่สุดของเหตุการณ์นี้คือช่องทางการโจมตี นั่นคือการโจมตีห่วงโซ่อุปทาน แทนที่จะโจมตี Mercor โดยตรง ผู้คุกคามมุ่งเป้าไปที่ LiteLLM ซึ่งเป็นไลบรารีที่ Mercor และบริษัท AI อื่น ๆ อีกหลายแห่งต้องพึ่งพา นี่เป็นกลยุทธ์การโจมตีที่ถูกพิสูจน์แล้วและพบเห็นได้บ่อยขึ้นเรื่อย ๆ

การโจมตีห่วงโซ่อุปทานเป็นเรื่องยากที่จะป้องกัน เพราะมันใช้ประโยชน์จากความไว้วางใจ เมื่อบริษัทรวมไลบรารีโอเพนซอร์สเข้ามา ก็หมายความว่ากำลังไว้วางใจโดยธรรมชาติว่าโค้ดนั้นสะอาด การฝังโค้ดที่เป็นอันตรายในระดับไลบรารีหมายความว่าบริษัทใดก็ตามที่ดึงการอัปเดตเข้ามาอาจติดตั้งแบ็คดอร์หรือส่วนประกอบที่เก็บเกี่ยวข้อมูลโดยไม่รู้ตัว

การละเมิดครั้งนี้เป็นเครื่องเตือนใจว่าความมั่นคงทางด้านความปลอดภัยขององค์กรนั้นแข็งแกร่งได้เพียงเท่ากับจุดอ่อนที่สุดในการพึ่งพาซอฟต์แวร์ของตนเท่านั้น สำหรับผู้ใช้ มันเน้นย้ำให้เห็นว่าข้อมูลของคุณอาจตกอยู่ในความเสี่ยงจากการตัดสินใจที่ห่างออกไปหลายชั้นจากบริษัทที่คุณมอบข้อมูลนั้นให้จริง ๆ

สิ่งนี้หมายความว่าอย่างไรสำหรับคุณ

หากคุณเคยใช้แพลตฟอร์มของ Mercor และส่งเอกสารยืนยันตัวตนหรือเคยเข้าร่วมการเก็บรวบรวมข้อมูลไบโอเมตริกซ์ คุณควรถือว่าข้อมูลตัวตนของคุณอาจถูกโจมตีแล้ว นี่คือสิ่งที่คุณสามารถทำได้ในตอนนี้:

  • ติดตามการฉ้อโกงด้านตัวตน ตั้งค่าการแจ้งเตือนกับธนาคารและสถาบันการเงินของคุณ และตรวจสอบรายงานเครดิตของคุณเพื่อหากิจกรรมที่ผิดปกติ
  • ระมัดระวังการตรวจสอบตัวตนผ่านวิดีโอ หากมีคนอ้างว่าเป็นคุณในบริบทการยืนยันตัวตนผ่านวิดีโอ การอ้างนั้นปัจจุบันสามารถปลอมแปลงได้ง่ายขึ้นด้วยเครื่องมือ deepfake
  • ตั้งคำถามกับการติดต่อที่ไม่ได้คาดหมาย มิจฉาชีพที่มีข้อมูล ID ของคุณอาจพยายามโจมตีฟิชชิ่งที่ดูถูกกฎหมายอย่างผิดปกติ เพราะพวกเขารู้รายละเอียดเกี่ยวกับคุณอยู่แล้ว
  • จำกัดการแชร์ข้อมูลไบโอเมตริกซ์ในอนาคต เลือกให้รอบคอบว่าบริการใดที่คุณจะให้การสแกนใบหน้า การบันทึกเสียง หรือบัตรประชาชน และตั้งคำถามว่าบริการนั้นต้องการข้อมูลระดับนั้นจริง ๆ หรือไม่
  • ใช้รหัสผ่านที่แข็งแกร่งและไม่ซ้ำกันทุกที่ แม้รหัสผ่านเพียงอย่างเดียวไม่สามารถปกป้องข้อมูลไบโอเมตริกซ์ได้ แต่การลดพื้นที่การโจมตีโดยรวมก็คุ้มค่าเสมอ
  • เข้ารหัสการสื่อสารของคุณ การใช้ VPN เมื่อเชื่อมต่อกับบริการ โดยเฉพาะผ่านเครือข่ายสาธารณะหรือเครือข่ายที่ไม่น่าเชื่อถือ จะช่วยลดความเสี่ยงของการดักจับข้อมูลเพิ่มเติม

การละเมิดข้อมูลของ Mercor เป็นตัวอย่างที่ชัดเจนว่าทำไมการจัดเก็บข้อมูลไบโอเมตริกซ์ที่ละเอียดอ่อนสูงแบบรวมศูนย์จึงสร้างความเสี่ยงที่กระจุกตัว เมื่อบริษัทหนึ่งถือครองการสแกนใบหน้า รอยพิมพ์เสียง และเอกสารประจำตัวของผู้คนจำนวนมาก การโจมตีที่สำเร็จเพียงครั้งเดียวอาจมีผลกระทบที่ยาวนานหลายปี

การติดตามข้อมูลเกี่ยวกับการละเมิดที่ส่งผลกระทบต่อบริการที่คุณใช้ การเข้าใจว่าคุณได้แชร์ข้อมูลอะไรกับแพลตฟอร์มใด และการใช้แนวทางเชิงรุกต่อตัวตนดิจิทัลของคุณ ล้วนเป็นขั้นตอนที่ปฏิบัติได้จริงที่สุดที่คุณสามารถทำได้ การละเมิดข้อมูลจะไม่หายไป แต่ยิ่งคุณรู้มากเท่าไรว่าข้อมูลที่ละเอียดอ่อนที่สุดของคุณอยู่ที่ไหน คุณก็จะยิ่งอยู่ในตำแหน่งที่ดีขึ้นเพื่อตอบสนองเมื่อมีสิ่งผิดปกติเกิดขึ้น