主要なAI企業にトレーニングデータを提供するスタートアップMercorは、機密会社やユーザーデータを公開した可能性があるセキュリティ侵害の被害者であることを確認しました。
100億ドルの価値で評価された3年のスタートアップは、AIモードの機能を向上させるデータ提供を支援するために、医学、法律、文学に至るまで、さまざまな分野の専門家を募集します。お客様には、アントロピック、OpenAI、メタがあります。
オンラインで配布された未確認レポートによれば、一部のMercor顧客が使用するデータセットとその顧客の秘密AIプロジェクトに関する情報が侵害のために破損している可能性があります。
このイベントは、アプリケーションをAIサービスに接続するために広く使用されているオープンソースライブラリであるLiteLLMに関連するサプライチェーン攻撃に関連しています。
同社は、TeamPCPと呼ばれるハッキンググループに関連付けられたLiteLLMに対するサプライチェーン攻撃の影響を受けた「何千もの企業の1つ」であることをFortuneに確認しました。マーコのスポークスマンであるハイディ・ハーグバーグは、同社は事件を抑制し解決するために「即時措置」を講じ、第三者のフォレンジック調査が進行中であると述べた。
Hagbergは、「顧客と請負業者のプライバシーとセキュリティは、Mercorが行うすべてのことの基礎です」と述べました。 「私たちは顧客や請負業者と適切に直接コミュニケーションをとり、できるだけ早く問題を解決するために必要なリソースを投入します。」
Mercorは、10月にベンチャーキャピタル会社Felicis Venturesが主導するシリーズCラウンドで3億5千万ドルを投資するなど、シリコンバレーで最も人気のあるスタートアップの一つとして広く知られています。
TeamPCPハッキンググループは、開発者がOpenAIやAnthropicを含む企業のAIサービスにアプリケーションを接続するために使用するツールであるLiteLLMにマルウェアを植えました。セキュリティ会社Snykによると、通常は1日に数百万回ダウンロードされます。このコードは、資格情報を収集し、発見後数時間以内に識別および削除される前に業界全体に広く広がるように設計されています。
悪名高い喧嘩ハッキング組織であるLapsus $は、後でMercorを標的とし、そのデータにアクセスしたと主張しました。ギャングがどのようにデータを取得したかはすぐには明確ではなく、Mercoはハッキンググループの主張に関するフォーチュンの具体的な質問に答えなかった。 Infosecurity Magazineの記事で引用されたサイバーセキュリティ会社であるWizのセキュリティ研究者によると、TeamPCPは最近Lapsus $およびランサムウェアや強奪を専門とする他のグループと協力し始めたようです。
TeamPCPは、プログラマーが独自のコードを書くときに広く使用されているコードベースまたはソフトウェアライブラリ内にマルウェアを植える、いわゆる「サプライチェーン攻撃」をエンジニアリングすることが知られています。これとは対照的に、Lapsus $は、ユーザーログイン資格情報を盗んだ後、その資格情報を使用して機密データにアクセスして盗むことに焦点を当てる社会工学およびフィッシング攻撃で有名な古いハッキンググループです。
TechCrunchによると、Lapsus $は、Slackデータとして見えるデータ、内部チケット情報、MercorのAIシステムとプラットフォーム請負業者との会話を示すことが知られている2つのビデオを含む、流出サイトに盗まれたと推定されるデータサンプルを公開しました。 Lapsus $は、ソースコードとデータベース履歴を含む合計4テラバイトのデータを取得したと主張しています。 1テラバイトは、約1,000時間分のビデオまたは1,000部のブリタニカ百科事典に対応するデータ量です。
2023年には、広く使用されているファイル転送ツールであるMOVEitの脆弱性を悪用したCl0pランサムウェア集団の攻撃が何百もの組織に同時に侵入し、最終的に政府機関、金融機関、医療サービスプロバイダ全体で約1億人の個人に影響を与えました。そのキャンペーンの強奪の試みは数ヶ月間続きました。
