Шість місяців тому стартап Mercor, що спеціалізується на навчанні штучного інтелекту з використанням даних, залучив $350 мільйонів у раунді Series C, отримавши оцінку у $10 мільярдів. Проте після офіційного визнання 31 березня масштабного витоку даних компанія опинилася у центрі масштабної кризи.
Про це розповідає ProIT
Витік даних та реакція ринку
Хакерська група заявила про отримання 4 ТБ вкрадених даних із внутрішніх систем Mercor — серед них профілі кандидатів, персональні дані, інформація про роботодавців, програмний код і ключі API. Компанія не підтвердила справжність цих даних, зазначивши лише, що проводить розслідування та
“буде продовжувати спілкуватися з нашими клієнтами та підрядниками безпосередньо, коли це буде доречно, і докладати необхідних ресурсів для вирішення ситуації якнайшвидше”.
Mercor пояснила, що витік стався через злам інструмента з відкритим кодом LiteLLM, який завантажують мільйони разів на день. Протягом 40 хвилин LiteLLM містив шкідливе програмне забезпечення, яке викрадало облікові дані користувачів. Викрадені логіни дозволили зловмисникам отримати доступ до інших програм та акаунтів, що спричинило подальший ланцюговий витік інформації.
Хоча офіційних даних про обсяги викраденої інформації немає, наслідки вже відчутні. Зокрема, компанія Meta призупинила співпрацю з Mercor на невизначений термін. У той же час OpenAI розпочала власне розслідування щодо ймовірного впливу інциденту, але на момент публікації не призупинила співпрацю з Mercor. За повідомленнями, інші великі розробники AI-моделей також переглядають свої відносини з компанією.
Судові позови та інші ускладнення
Після інциденту п’ятеро підрядників Mercor подали судові позови через можливий витік їхніх персональних даних. Одна із справ навіть залучає до відповідальності LiteLLM і стартап Delve, який займався сертифікацією безпеки для LiteLLM. Згідно з анонімними звинуваченнями, Delve могла фальсифікувати дані для отримання сертифікатів і співпрацювала з недобросовісними аудиторами, хоча компанія заперечує ці обвинувачення та вже впровадила зміни у своїй роботі. У відповідь Y Combinator припинила співпрацю з Delve.
LiteLLM відмовилася від послуг Delve і співпрацює з новою компанією для повторної сертифікації. Водночас Mercor заявила, що ніколи не була клієнтом Delve. Однак, якщо наслідки атаки продовжаться, компанія може втратити значну частину доходів — за інформацією анонімного джерела, на початку року Mercor наближалася до $1 мільярда річного доходу до витоку даних.