Mercor Veri İhlali Biyometrik Verileri ve Kimlik Belgelerini Açığa Çıkardı

Yapay Zeka Girişimi Mercor Büyük Bir Biyometrik Veri İhlaline Uğradı

10 milyar dolar değerinde bir yapay zeka işe alım ve iş gücü platformu olan Mercor, hayal edilebilecek en hassas kişisel verileri açığa çıkaran ciddi bir veri ihlaliyle karşı karşıya kaldı: kullanıcılarına ait devlet tarafından düzenlenmiş kimlik belgeleri, yüz biyometrik verileri ve ses biyometrik verileri. İhlal, yalnızca çalınan verilerin niteliği nedeniyle değil, olayın nasıl gerçekleştiği ve etkilenen bireyler için doğurabileceği sonuçlar nedeniyle de geniş çapta ilgi çekti.

Olay, geliştiricilerin büyük dil modellerini uygulamalarına entegre etmelerine yardımcı olan yaygın kullanımlı bir açık kaynak kütüphanesi olan LiteLLM'i hedef alan bir tedarik zinciri saldırısıyla bağlantılıdır. Bu denli temel bir bağımlılığın ele geçirilmesi, onu kullanan düzinelerce hatta yüzlerce şirkete zarar verebilir. Bu durumda Mercor'un da mağdurlar arasında yer aldığı görülmektedir. Saldırıya TeamPCP ve Lapsus$ adlı hacker gruplarının karıştığı ileri sürülmektedir. Lapsus$, büyük teknoloji şirketlerine yönelik yüksek profilli saldırılarla iyi belgelenmiş bir geçmişe sahip bir gruptur.

Mercor ile iş birliği yapan Meta'nın, ihlale ilişkin haberlerin ardından bu ortaklığı askıya aldığı bildirilmektedir.

Biyometrik Veri İhlalleri Neden Özellikle Tehlikelidir

Tüm veri ihlalleri aynı riski taşımaz. Bir parola çalındığında değiştirebilirsiniz. Bir kredi kartı numarası açığa çıktığında banka yenisini düzenleyebilir. Biyometrik veriler ise farklıdır. Yüzünüz, sesiniz ve parmak izleriniz yeniden düzenlenemez. Bu veriler bir kez dışarı çıktığında, kalıcı olarak çıkmış olur.

Mercor ihlalini özellikle ciddi kılan da budur. Devlet kimlik belgeleriyle birleştirilen yüz biyometrik verileri, kötü niyetli kişilere kimlik dolandırıcılığı için son derece güçlü bir araç seti sunar. Daha somut bir ifadeyle, gerçek kişileri taklit etmek amacıyla yapay zeka tarafından üretilen sentetik medyanın kullanıldığı deepfake dolandırıcılığı için ideal koşullar oluşturur. Saldırganlar, çalınan yüz görüntülerini ve ses kayıtlarını kimlik doğrulama kontrollerini geçmek, sahte finansal hesaplar açmak ya da video görüşmelerinde ve mülakatlarında bireyleri taklit etmek amacıyla kullanabilir.

Deepfake teknolojisi hızla ilerlemiş ve inandırıcı sentetik medya oluşturmanın önündeki engeller önemli ölçüde azalmıştır. Gerçek bir kişinin biyometrik verileri gibi yüksek kaliteli kaynak materyaller mevcut olduğunda, sonuçlar çok daha inandırıcı hale gelir ve tespit edilmesi güçleşir.

Bu İhlalin Merkezindeki Tedarik Zinciri Güvenlik Açığı

Bu olayın en önemli yönlerinden biri saldırı vektörüdür: tedarik zinciri ele geçirme. Tehdit aktörleri Mercor'a doğrudan saldırmak yerine, Mercor'un ve pek çok yapay zeka şirketinin bağımlı olduğu bir kütüphane olan LiteLLM'i hedef aldı. Bu, iyi bilinen ve giderek yaygınlaşan bir saldırı stratejisidir.

Tedarik zinciri saldırılarına karşı savunma yapmak güçtür; çünkü bu saldırılar güveni istismar eder. Bir şirket açık kaynaklı bir kütüphane entegre ettiğinde, kodun temiz olduğuna örtülü olarak güvenmektedir. Kütüphane düzeyine kötü amaçlı kod enjekte edilmesi, güncellemeleri çeken herhangi bir şirketin farkında olmadan bir arka kapı ya da veri toplama bileşeni yükleyebileceği anlamına gelir.

Bu ihlal, bir kuruluşun güvenlik duruşunun yalnızca yazılım bağımlılıklarındaki en zayıf halka kadar güçlü olabileceğini bir kez daha hatırlatmaktadır. Kullanıcılar açısından ise verilerinizin, verileri bizzat teslim ettiğiniz şirketten birkaç katman uzakta alınan kararlar nedeniyle tehlikeye girebileceğini gözler önüne sermektedir.

Bu Sizin İçin Ne Anlama Geliyor

Mercor'un platformunu kullandıysanız ve kimlik doğrulama belgeleri gönderdiyseniz ya da herhangi bir biyometrik veri toplamaya katıldıysanız, kimlik verilerinizi potansiyel olarak ele geçirilmiş kabul etmelisiniz. Şu anda yapabilecekleriniz şunlardır:

• Kimlik dolandırıcılığını izleyin. Bankanızda ve finansal kuruluşlarınızda uyarılar ayarlayın ve kredi raporlarınızda olağandışı hareketler olup olmadığını kontrol edin.
• Video tabanlı kimlik doğrulama kontrollerinde dikkatli olun. Birisi bir video doğrulama bağlamında sizmiş gibi davranıyorsa, bu iddia artık deepfake araçları kullanılarak çok daha kolay taklit edilebilir hale gelmiştir.
• İstenmeyen iletişimleri sorgulayın. Kimlik verilerinize sahip dolandırıcılar, sizinle ilgili ayrıntıları zaten biliyor olacaklarından, alışılmadık biçimde meşru görünen kimlik avı saldırıları gerçekleştirmeye çalışabilir.
• Bundan böyle biyometrik veri paylaşımını sınırlandırın. Yüz taraması, ses kaydı veya devlet kimliği sağladığınız hizmetler konusunda seçici olun. İlgili hizmetin gerçekten o düzeyde veriye ihtiyaç duyup duymadığını sorgulayın.
• Her yerde güçlü ve benzersiz kimlik bilgileri kullanın. Parolalar tek başına biyometrik verileri koruyamasa da genel saldırı yüzeyinizi azaltmak her zaman değerlidir.
• İletişimlerinizi şifreleyin. Hizmetlere bağlanırken, özellikle genel veya güvenilmeyen ağlar üzerinden, VPN kullanmak ek veri ele geçirilmesi riskini azaltır.

Mercor ihlali, son derece hassas biyometrik verilerin merkezi olarak depolanmasının yoğun risk yarattığının açık bir göstergesidir. Tek bir şirketin çok sayıda kişiye ait yüz taramalarını, ses baskılarını ve kimlik belgelerini bünyesinde barındırması durumunda, tek bir başarılı saldırı yıllarca sürebilecek sonuçlar doğurabilir.

Kullandığınız hizmetleri etkileyen ihlaller hakkında bilgi sahibi olmak, hangi verileri hangi platformlarla paylaştığınızı anlamak ve dijital kimliğinize yönelik proaktif bir yaklaşım benimsemek, alabileceğiniz en pratik adımlar arasındadır. Veri ihlalleri ortadan kalkmayacak; ancak en hassas bilgilerinizin nerede bulunduğunu ne kadar iyi bilirseniz, bir şeyler ters gittiğinde müdahale etmek için o kadar iyi konumda olursunuz.