Утечка биометрических персональных данных у Mercor

Компания Mercor, стартап в области подбора персонала с использованием искусственного интеллекта, стала жертвой крупной утечки, которая затронула биометрические персональные данные пользователей (лицо и голос) и удостоверения личности.

Mercor поставляет обучающие данные крупным компаниям, занимающимся искусственным интеллектом, в том числе OpenAI и Meta*. Утечка информации оказалась связана с более крупной атакой на цепочку поставок библиотеки с открытым исходным кодом LiteLLM.

Вредоносный код был внедрен в LiteLLM — инструмент для подключения приложений к сервисам искусственного интеллекта. 
Предположительно, хакерами был получен доступ к наборам персональных данных клиентов Mercor, включая биометрические персональные данные, а также конфиденциальная информация о проектах в сфере ИИ.

Компания сообщила, что сразу приняла меры для локализации утечки данных и привлекла сторонних экспертов для расследования инцидента ИБ, а также продолжает информировать клиентов и подрядчиков о положении дел. Также Meta* приостановила сотрудничество на период проведения расследования.

Исследователи в области безопасности считают, что кибератака LiteLLM была спланирована для массового сбора данных, и утечка дала основу для создания дипфейков и последующего мошенничества с персональными данными.

Со взломом связывают хакерскую группу TeamPCP, которая начала сотрудничать с Lapsus$, специализирующейся на вымогательстве и известной атаками с помощью методов социальной инженерии. Группа Lapsus$ опубликовала образцы скомпрометированной информации и утверждает, что получила до четырех терабайт данных, хотя Mercor не подтвердила подлинность или масштабы утечки.