Vi Phạm Dữ Liệu Mercor Làm Lộ Dữ Liệu Sinh Trắc Học và Giấy Tờ Tùy Thân

Startup AI Mercor Hứng Chịu Vụ Vi Phạm Dữ Liệu Sinh Trắc Học Nghiêm Trọng

Mercor, một nền tảng tuyển dụng và nhân lực AI được định giá 10 tỷ đô la, đã hứng chịu một vụ vi phạm dữ liệu nghiêm trọng khiến một số dữ liệu cá nhân nhạy cảm nhất có thể tưởng tượng bị lộ: tài liệu tùy thân do chính phủ cấp, dữ liệu sinh trắc học khuôn mặt và giọng nói thuộc về người dùng của nền tảng này. Vụ vi phạm đã thu hút sự chú ý rộng rãi không chỉ vì tính chất của dữ liệu bị đánh cắp, mà còn vì cách thức xảy ra và những hậu quả có thể xảy đến với các cá nhân bị ảnh hưởng.

Sự cố này liên quan đến một cuộc tấn công chuỗi cung ứng nhắm vào LiteLLM, một thư viện mã nguồn mở được sử dụng rộng rãi giúp các nhà phát triển tích hợp các mô hình ngôn ngữ lớn vào ứng dụng của họ. Khi một dependency cơ bản như vậy bị xâm phạm, thiệt hại có thể lan rộng ra hàng chục hoặc hàng trăm công ty phụ thuộc vào nó. Trong trường hợp này, Mercor có vẻ là một trong số các nạn nhân. Các nhóm tin tặc TeamPCP và Lapsus$ đã bị cáo buộc liên quan đến cuộc tấn công. Lapsus$ là một nhóm có lịch sử được ghi chép rõ ràng về các vụ xâm nhập nổi tiếng nhắm vào các công ty công nghệ lớn.

Meta, vốn đang hợp tác với Mercor, được cho là đã tạm dừng mối quan hệ đối tác đó sau khi tin tức về vụ vi phạm được công bố.

Tại Sao Vi Phạm Dữ Liệu Sinh Trắc Học Đặc Biệt Nguy Hiểm

Không phải tất cả các vụ vi phạm dữ liệu đều mang cùng một mức độ rủi ro. Khi mật khẩu bị đánh cắp, bạn có thể thay đổi nó. Khi số thẻ tín dụng bị lộ, ngân hàng có thể cấp thẻ mới. Dữ liệu sinh trắc học thì khác. Khuôn mặt, giọng nói và dấu vân tay của bạn không thể được cấp lại. Một khi dữ liệu đó bị lộ ra ngoài, nó sẽ bị lộ vĩnh viễn.

Đây chính là điều khiến vụ vi phạm Mercor đặc biệt nghiêm trọng. Dữ liệu sinh trắc học khuôn mặt kết hợp với tài liệu tùy thân do chính phủ cấp mang lại cho những kẻ xấu một bộ công cụ vô cùng mạnh mẽ để thực hiện gian lận danh tính. Cụ thể hơn, chúng tạo ra điều kiện lý tưởng cho gian lận deepfake, nơi phương tiện tổng hợp được tạo ra bởi AI được dùng để mạo danh người thật. Những kẻ tấn công có thể sử dụng ảnh khuôn mặt và bản ghi giọng nói bị đánh cắp để vượt qua các kiểm tra xác minh danh tính, mở tài khoản tài chính gian lận, hoặc mạo danh các cá nhân trong các cuộc gọi video và buổi phỏng vấn.

Công nghệ deepfake đã phát triển nhanh chóng, và rào cản để tạo ra phương tiện tổng hợp thuyết phục đã giảm đáng kể. Khi có sẵn tài liệu nguồn chất lượng cao như dữ liệu sinh trắc học thực của một người, kết quả sẽ còn thuyết phục hơn và khó phát hiện hơn.

Lỗ Hổng Chuỗi Cung Ứng Là Trọng Tâm Của Vụ Vi Phạm Này

Một trong những khía cạnh quan trọng nhất của sự cố này là vectơ tấn công: xâm phạm chuỗi cung ứng. Thay vì tấn công trực tiếp vào Mercor, các tác nhân đe dọa đã nhắm vào LiteLLM, một thư viện mà Mercor và nhiều công ty AI khác phụ thuộc vào. Đây là một chiến lược tấn công được thiết lập rõ ràng và ngày càng phổ biến.

Các cuộc tấn công chuỗi cung ứng rất khó phòng thủ vì chúng khai thác lòng tin. Khi một công ty tích hợp một thư viện mã nguồn mở, về bản chất họ đang tin tưởng rằng mã đó là sạch. Việc tiêm mã độc hại ở cấp độ thư viện có nghĩa là bất kỳ công ty nào kéo bản cập nhật về đều có thể vô tình cài đặt một backdoor hoặc thành phần thu thập dữ liệu.

Vụ vi phạm này là lời nhắc nhở rằng tư thế bảo mật của một tổ chức chỉ mạnh bằng mắt xích yếu nhất trong các phụ thuộc phần mềm của nó. Đối với người dùng, nó nhấn mạnh rằng dữ liệu của bạn có thể bị đặt vào rủi ro bởi các quyết định được đưa ra ở nhiều lớp cách xa công ty mà bạn thực sự đã giao dữ liệu đó.

Điều Này Có Ý Nghĩa Gì Đối Với Bạn

Nếu bạn đã sử dụng nền tảng của Mercor và đã nộp tài liệu xác minh danh tính hoặc tham gia vào bất kỳ quá trình thu thập dữ liệu sinh trắc học nào, bạn nên xem dữ liệu danh tính của mình là có thể đã bị xâm phạm. Đây là những gì bạn có thể làm ngay bây giờ:

• Theo dõi gian lận danh tính. Thiết lập cảnh báo với ngân hàng và các tổ chức tài chính của bạn, và kiểm tra báo cáo tín dụng để phát hiện hoạt động bất thường.
• Thận trọng với các kiểm tra danh tính qua video. Nếu ai đó tự nhận là bạn trong bối cảnh xác minh qua video, điều đó giờ đây dễ dàng bị làm giả hơn bằng các công cụ deepfake.
• Nghi ngờ các liên lạc không được yêu cầu. Những kẻ gian lận có dữ liệu tùy thân của bạn có thể cố gắng thực hiện các cuộc tấn công lừa đảo có vẻ đặc biệt hợp pháp vì chúng đã biết thông tin chi tiết về bạn.
• Hạn chế chia sẻ dữ liệu sinh trắc học trong tương lai. Hãy chọn lọc về những dịch vụ bạn cung cấp ảnh quét khuôn mặt, bản ghi giọng nói hoặc chứng minh thư. Hãy hỏi xem dịch vụ đó có thực sự cần đến mức dữ liệu đó không.
• Sử dụng thông tin đăng nhập mạnh và độc nhất ở khắp mọi nơi. Mặc dù mật khẩu đơn thuần không thể bảo vệ dữ liệu sinh trắc học, nhưng việc giảm thiểu bề mặt tấn công tổng thể của bạn luôn có giá trị.
• Mã hóa thông tin liên lạc của bạn. Sử dụng VPN khi kết nối với các dịch vụ, đặc biệt qua các mạng công cộng hoặc không đáng tin cậy, giúp giảm nguy cơ bị chặn dữ liệu thêm.

Vụ vi phạm Mercor là minh chứng rõ ràng về lý do tại sao việc lưu trữ tập trung dữ liệu sinh trắc học cực kỳ nhạy cảm tạo ra rủi ro tập trung. Khi một công ty lưu trữ ảnh quét khuôn mặt, dấu in giọng nói và tài liệu tùy thân của một số lượng lớn người, một cuộc tấn công thành công duy nhất có thể gây ra hậu quả kéo dài nhiều năm.

Luôn cập nhật thông tin về các vụ vi phạm ảnh hưởng đến các dịch vụ bạn sử dụng, hiểu dữ liệu nào bạn đã chia sẻ với nền tảng nào, và áp dụng phương pháp chủ động đối với danh tính kỹ thuật số của bạn là một trong những bước thực tế nhất bạn có thể thực hiện. Các vụ vi phạm dữ liệu sẽ không biến mất, nhưng bạn càng biết nhiều về nơi lưu trữ thông tin nhạy cảm nhất của mình, bạn càng có vị thế tốt hơn để phản ứng khi có sự cố xảy ra.