С тех пор хакерская группа заявила, что получила доступ к 4 ТБ украденных данных из систем Mercor, включая профили кандидатов, личную идентифицирующую информацию, данные работодателей, исходный код и ключи API. Mercor не комментировала подлинность данных, лишь подтвердив, что проводит расследование и «продолжит напрямую общаться с нашими клиентами и подрядчиками по мере необходимости и задействует необходимые ресурсы для скорейшего урегулирования этого вопроса».
Mercor заявила, что утечка данных стала результатом взлома инструмента с открытым исходным кодом LiteLLM. Этот инструмент настолько популярен, что его загружают миллионы раз в день. В течение 40 минут инструмент содержал вредоносное ПО для сбора учетных данных — несанкционированное программное обеспечение, способное красть логины. Эти учетные данные использовались для получения доступа к большему количеству программного обеспечения и аккаунтов, которые, в свою очередь, использовались для сбора еще большего количества учетных данных и так далее.
Хотя формальных подтверждений о том, какой объем данных был извлечен из Mercor, нет, последствия уже наступили. По данным источников Wired, Meta* приостановила действие своих контрактов с Mercor на неопределенный срок. (Mercor отказалась комментировать это TechCrunch.)
Как и другие контрактные компании по обучению данных для ИИ, Mercor обрабатывает некоторые из крупнейших коммерческих секретов разработчиков моделей: специальные наборы данных и процессы, которые они используют для обучения своих моделей. Это настолько важно для них, что даже после того, как Meta* потратила 14,3 миллиарда долларов на конкурента Mercor, Scale AI, она продолжила сотрудничество с Mercor.
Есть и немного хороших новостей для Mercor (возможно… посмотрим): OpenAI также подтвердила Wired, что расследует свое возможное участие в инциденте с Mercor, но заявила, что на тот момент не приостанавливала и не расторгла контракты. Однако TechCrunch из нескольких источников стало известно, что другие крупные разработчики моделей также могут пересматривать свои отношения с Mercor после утечки, хотя у нас пока нет достаточного количества подтвержденных деталей, чтобы называть имена.
Тем временем пять подрядчиков Mercor подали иски из-за предполагаемой утечки их личных данных, сообщает Business Insider. Остается увидеть, представляют ли эти иски серьезную угрозу или являются лишь попыткой извлечь выгоду и досадной помехой. (Mercor отказалась от комментариев.)
Один из исков, рассмотренных TechCrunch, даже назвал LiteLLM и Delve ответчиками. Это дико и, возможно, натянуто, но вот связь: LiteLLM использовала стартап по комплаенсу в сфере ИИ Delve для получения своих сертификатов безопасности. Delve обвиняется анонимным осведомителем в предполагаемой фальсификации данных для получения сертификатов безопасности и использовании аудиторов, ставящих штампы.
Сертификация безопасности напрямую не предотвращает успешные атаки хакеров, но она призвана гарантировать, что компании имеют процессы для минимизации таких угроз.
Хотя Delve отвергла эти обвинения, одновременно внедряя операционные изменения, сама компания оказалась в серьезных затруднениях, вплоть до того, что Y Combinator разорвала с ней связи.
LiteLLM отказалась от услуг Delve и теперь работает с другим стартапом по комплаенсу в сфере ИИ, чтобы снова получить сертификаты безопасности. LiteLLM также опубликовала полный отчет об инциденте безопасности.
Но сама Mercor не была клиентом Delve, подтвердила компания TechCrunch. Однако, если последствия для Mercor продолжатся, под угрозой могут оказаться большие доходы. По сообщениям анонимного источника The Information, ранее в этом году компания демонстрировала темпы годовой выручки, превышающей 1 миллиард долларов, до утечки данных.
Facebook*, Instagram* и WhatsApp* принадлежат компании Meta* Platforms Inc., деятельность которой признана экстремистской и запрещена на территории Российской Федерации.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Julie Bort
