Витік даних Mercor розкриває біометричні дані та документи, що посвідчують особу

AI-стартап Mercor постраждав від масштабного витоку біометричних даних

Mercor, платформа для рекрутингу та управління персоналом на основі штучного інтелекту, оцінена в 10 мільярдів доларів, зазнала значного витоку даних, який розкрив одні з найчутливіших персональних даних, які тільки можна уявити: документи, що посвідчують особу, видані державою, біометричні дані обличчя та голосова біометрія, що належать її користувачам. Інцидент привернув широку увагу не лише через характер викрадених даних, а й через те, як це сталося і які наслідки це може мати для постраждалих осіб.

Інцидент пов'язаний з атакою на ланцюжок постачання, спрямованою проти LiteLLM — широко використовуваної бібліотеки з відкритим вихідним кодом, яка допомагає розробникам інтегрувати великі мовні моделі у свої застосунки. Коли скомпрометована настільки фундаментальна залежність, збитки можуть поширитися на десятки або сотні компаній, які на неї покладаються. У цьому випадку Mercor, схоже, є однією з жертв. До атаки причетні хакерські угруповання TeamPCP та Lapsus$. Lapsus$ — це група з добре задокументованою історією резонансних вторгнень у системи великих технологічних компаній.

Компанія Meta, яка співпрацювала з Mercor, за повідомленнями, призупинила це партнерство після новин про витік даних.

Чому витоки біометричних даних є особливо небезпечними

Не всі витоки даних несуть однаковий ризик. Коли викрадають пароль, його можна змінити. Коли розкривається номер кредитної картки, банк може видати новий. Біометричні дані — інша справа. Ваше обличчя, голос і відбитки пальців не можна перевидати. Як тільки ці дані потрапляють назовні — вони залишаються там назавжди.

Саме це робить витік даних Mercor особливо серйозним. Біометричні дані обличчя в поєднанні з документами, що посвідчують особу, дають зловмисникам надзвичайно потужний інструментарій для шахрайства з ідентифікацією. Зокрема, вони створюють ідеальні умови для дипфейк-шахрайства, коли синтетичні медіаматеріали, згенеровані штучним інтелектом, використовуються для видавання себе за реальних людей. Зловмисники потенційно можуть використовувати викрадені зображення облич та голосові записи, щоб пройти перевірку особистості, відкрити шахрайські фінансові рахунки або видавати себе за певних осіб під час відеодзвінків та співбесід.

Технологія дипфейків стрімко розвивається, а поріг для створення переконливих синтетичних медіаматеріалів значно знизився. Коли доступні якісні вихідні матеріали, як-от реальні біометричні дані особи, результати стають ще більш переконливими і їх важче виявити.

Вразливість ланцюжка постачання в основі цього витоку

Одним із найважливіших аспектів цього інциденту є вектор атаки: компрометація ланцюжка постачання. Замість того щоб атакувати Mercor безпосередньо, зловмисники обрали своєю ціллю LiteLLM — бібліотеку, від якої залежать Mercor та багато інших AI-компаній. Це добре відома та дедалі поширеніша стратегія атак.

Атаки на ланцюжок постачання важко відбити, оскільки вони експлуатують довіру. Коли компанія інтегрує бібліотеку з відкритим вихідним кодом, вона апріорі довіряє тому, що код є чистим. Впровадження шкідливого коду на рівні бібліотеки означає, що будь-яка компанія, яка завантажує оновлення, може ненавмисно встановити бекдор або компонент для збору даних.

Цей витік слугує нагадуванням про те, що рівень захищеності організації визначається найслабшою ланкою в її програмних залежностях. Для користувачів це підкреслює, що ваші дані можуть опинитися під загрозою через рішення, прийняті на кількох рівнях, далеко від компанії, якій ви безпосередньо їх передали.

Що це означає для вас

Якщо ви користувалися платформою Mercor і надавали документи для верифікації особистості або брали участь у будь-якому збиранні біометричних даних, вам слід вважати свої ідентифікаційні дані потенційно скомпрометованими. Ось що ви можете зробити прямо зараз:

• Стежте за шахрайством з ідентифікацією. Налаштуйте сповіщення у своєму банку та фінансових установах і перевіряйте свої кредитні звіти на наявність підозрілої активності.
• Будьте обережні з верифікацією особистості на основі відео. Якщо хтось стверджує, що є вами в контексті відеоверифікації, таке твердження тепер легше підробити за допомогою дипфейк-інструментів.
• Ставтеся скептично до небажаних контактів. Шахраї, які мають ваші ідентифікаційні дані, можуть намагатися здійснювати фішингові атаки, які виглядають незвично правдоподібно, оскільки вони вже знають певні деталі про вас.
• Надалі обмежуйте передачу біометричних даних. Ретельно обирайте, яким сервісам ви надаєте скани обличчя, голосові записи або документи, що посвідчують особу. Запитуйте себе, чи дійсно сервісу потрібен такий рівень даних.
• Скрізь використовуйте надійні та унікальні облікові дані. Хоча паролі самі по собі не можуть захистити біометричні дані, зменшення загальної поверхні атаки завжди є корисним.
• Шифруйте свої комунікації. Використання VPN під час підключення до сервісів, особливо через публічні або ненадійні мережі, знижує ризик додаткового перехоплення даних.

Витік даних Mercor є наочним прикладом того, чому централізоване зберігання надзвичайно чутливих біометричних даних створює концентрований ризик. Коли одна компанія зберігає скани облич, голосові відбитки та документи, що посвідчують особу, великої кількості людей, одна успішна атака може мати наслідки, які тривають роками.

Бути поінформованим про витоки, що торкаються сервісів, якими ви користуєтеся, розуміти, які дані ви передали тим чи іншим платформам, і проактивно ставитися до своєї цифрової ідентичності — це одні з найпрактичніших кроків, які ви можете зробити. Витоки даних нікуди не зникнуть, але що більше ви знаєте про те, де зберігається ваша найчутливіша інформація, то краще ви підготовлені до реагування, коли щось піде не так.