(SeaPRwire) –   Mercor, sebuah syarikat startup yang menyediakan data latihan kepada syarikat AI utama, mengesahkan bahawa ia menjadi mangsa pelanggaran keselamatan yang mungkin telah mendedahkan data sensitif syarikat dan pengguna.

Syarikat startup berusia tiga tahun ini, yang bernilai $10 bilion, merekrut pakar dalam bidang dari perubatan hingga undang-undang dan sastera, untuk membantu menyediakan data yang meningkatkan keupayaan model AI. Pelanggan beliau termasuk Anthropic, OpenAI, dan Meta.

Menurut laporan tidak disahkan yang beredar di dalam talian, set data yang digunakan oleh sebahagian pelanggan Mercor dan maklumat tentang projek AI rahsia pelanggan tersebut mungkin telah terjejas dalam pelanggaran ini.

Insiden ini dikaitkan dengan serangan rantaian bekalan yang melibatkan LiteLLM, sebuah perpustakaan sumber terbuka yang digunakan secara meluas untuk menyambungkan aplikasi kepada perkhidmatan AI.

Syarikat ini mengesahkan kepada bahawa ia adalah “salah satu daripada ribuan syarikat” yang terjejas oleh serangan rantaian bekalan ke atas LiteLLM, yang telah dikaitkan dengan kumpulan penggodam bernama TeamPCP. Pengulas Media Mercor, Heidi Hagberg, berkata bahawa syarikat itu telah “bertindak dengan segera” untuk mengawal dan membetulkan insiden ini dan berkata penyiasatan forensik pihak ketiga sedang dijalankan.

“Keselamatan dan privasi pelanggan dan kontraktor kami adalah asas kepada segala yang kami lakukan di Mercor,” kata Hagberg. “Kami akan terus berkomunikasi dengan pelanggan dan kontraktor kami secara langsung seperti yang sesuai dan menumpukan sumber yang diperlukan untuk menyelesaikan perkara ini secepat mungkin.”

Mercor dianggap secara meluas sebagai salah satu syarikat startup terhangat di Silicon Valley, selepas mengumpul $350 juta dalam pusingan Siri C yang diketuai oleh firma modal ventura Felicis Ventures pada Oktober lalu.

Kumpulan penggodam TeamPCP telah menanam kod berbahaya di dalam LiteLLM, sebuah alat yang digunakan oleh pembangun untuk menyambungkan aplikasi mereka kepada perkhidmatan AI dari syarikat termasuk OpenAI dan Anthropic, yang biasanya dimuat turun berjuta-juta kali sehari, menurut firma keselamatan Snyk. Kod ini direka untuk mengumpul kredensial dan menyebar secara meluas di seluruh industri sebelum ia dikenal pasti dan dikeluarkan dalam beberapa jam selepas penemuan.

Lapsus$, sebuah kumpulan penggodam pemerasan yang terkenal, kemudiannya mendakwa bahawa ia telah menyasarkan Mercor dan mengakses data beliau. Tidak jelas dengan segera bagaimana kumpulan itu mendapatkan data tersebut, dan Mercor tidak menjawab soalan khusus dari mengenai dakwaan kumpulan penggodam itu. TeamPCP dipercayai telah baru-baru ini mula bekerjasama dengan Lapsus$ serta kumpulan lain yang pakar dalam ransomware dan pemerasan, menurut penyelidik keselamatan dari firma keselamatan siber Wiz yang dipetik dalam sebuah cerita di Infosecurity Magazine.

TeamPCP terkenal dengan kejuruteraan apa yang dipanggil “serangan rantaian bekalan”, di mana malware ditanam di dalam asas kod atau perpustakaan perisian yang digunakan secara meluas oleh pengaturcara semasa menulis kod mereka sendiri. Sebaliknya, Lapsus$ adalah kumpulan penggodam yang lebih lama, terkenal dengan kejuruteraan sosial dan serangan phishing yang memfokuskan pada mencuri kredensial log masuk pengguna dan kemudian menggunakan kredensial tersebut untuk mendapatkan akses dan mencuri data sensitif.

Lapsus$ telah menerbitkan sampel data yang didakwa dicuri di laman kebocoran beliau, menurut TechCrunch, termasuk apa yang kelihatan seperti data Slack, maklumat tiket dalaman, dan dua video yang didakwa menunjukkan perbualan antara sistem AI Mercor dan kontraktor di platform beliau. Lapsus$ mendakwa telah memperoleh sehingga empat terabyte data secara keseluruhan, termasuk kod sumber dan rekod pangkalan data. Satu terabyte adalah kira-kira sebanyak data dalam 1,000 jam video atau 1,000 salinan Encyclopedia Britannica.

Mercor mungkin merupakan penanda awal bagi gelombang percubaan pemerasan yang akan datang akibat serangan rantaian bekalan. TeamPCP telah menyatakan secara umum niatnya untuk bekerjasama dengan kumpulan ransomware dan pemerasan untuk menyasarkan syarikat yang terjejas secara besar-besaran, menurut penerbitan perdagangan keselamatan siber Cybernews. Jika benar, strategi itu akan mencerminkan kempen yang dijalankan pada masa lalu oleh kumpulan penggodam.

Pada tahun 2023, serangan daripada kumpulan ransomware Cl0p yang mengeksploitasi kelemahan dalam MOVEit, sebuah alat pemindahan fail yang digunakan secara meluas, telah melanggar ratusan organisasi secara serentak, akhirnya menjejaskan hampir 100 juta individu di seluruh agensi kerajaan, institusi kewangan, dan penyedia penjagaan kesihatan. Percubaan pemerasan dari kempen itu berlarutan selama berbulan-bulan.