Mercor, 10 अब्ज डॉलरचे मूल्य असलेले AI रिक्रूटिंग स्टार्टअप जे OpenAI, Anthropic आणि Meta यासह आर्टिफिशियल इंटेलिजेंसमधील काही मोठ्या नावांसह कार्य करते, याने गंभीर डेटा भंगाची पुष्टी केली आहे ज्यामध्ये कुख्यात हॅकिंग गट Lapsus$ ने चार टेराबाइट्स चोरी केल्याचा दावा केला आहे, वापरकर्ता डेटा, इंटरव्ह्यू कोड, व्हिडीओ डेटा, व्हिडीओ कोडबेस यांचा समावेश आहे. कागदपत्रे
स्टार्टअप, जे AI मॉडेल्सची क्षमता सुधारणारा डेटा प्रदान करण्यात मदत करण्यासाठी औषधापासून ते कायद्यापर्यंतच्या क्षेत्रातील तज्ञांची नियुक्ती करते, त्यांनी पुष्टी केली की ते सुरक्षिततेच्या उल्लंघनाचा बळी आहे ज्यामुळे संवेदनशील कंपनी आणि वापरकर्ता डेटा उघड झाला असावा.
भंग हा सरळ सरळ खाच नाही. हा एक अत्याधुनिक पुरवठा साखळी हल्ला आहे ज्याने आधीच जागतिक स्तरावर हजारो कंपन्यांना प्रभावित केले आहे आणि हजारो अधिक प्रभावित होण्याची अपेक्षा आहे, ज्याने सायबरसुरक्षा संशोधक AI युगातील सर्वात लक्षणीय पुरवठा शृंखला हल्ल्यांपैकी एक म्हणून वर्णन करत असलेल्या मर्करला सार्वजनिकरित्या पुष्टी झालेल्या पहिल्या बळींपैकी एक बनवले आहे.
मर्कर म्हणजे काय आणि हे महत्त्वाचे का आहे
Mercor ही एक संगणक सॉफ्टवेअर कंपनी आहे जी AI प्रशिक्षण डेटा प्लॅटफॉर्म चालवते. मानवी फीडबॅकमधून मजबुतीकरण शिक्षण, मॉडेल मूल्यांकन आणि पर्यवेक्षित फाइन-ट्यूनिंग यासारख्या कार्यांसाठी कंपनी अग्रगण्य कृत्रिम बुद्धिमत्ता प्रयोगशाळा डोमेन तज्ञांसह जोडते. Mercor ची स्थापना 2023 मध्ये Brendan Foody, Adarsh Hiremath आणि Surya Midha यांनी केली होती.
Mercor ने त्याच्या कंत्राटदारांच्या नेटवर्कला दैनंदिन पेआउटमध्ये $2 दशलक्ष पेक्षा जास्त सुविधा दिल्याची नोंद केली आहे. त्यापैकी बरेच कंत्राटदार भारतात स्थित आहेत, जेथे प्लॅटफॉर्मवर वैद्यकीय, कायदा, विज्ञान आणि इतर डोमेनमधील भारतीय व्यावसायिकांना मॉडेल प्रशिक्षणासाठी त्यांच्या कौशल्याची आवश्यकता असलेल्या AI कंपन्यांशी जोडणारी महत्त्वपूर्ण कार्ये आहेत.
ऑनलाइन प्रसारित होत असलेल्या पुष्टी न झालेल्या अहवालांनुसार, Mercor च्या काही ग्राहकांनी वापरलेले डेटासेट आणि त्या ग्राहकांच्या गुप्त AI प्रकल्पांबद्दलची माहिती या उल्लंघनात तडजोड केली गेली असावी. पुष्टी झाल्यास, याचा अर्थ असा होईल की OpenAI, Anthropic आणि Meta च्या AI विकास कार्याविषयी संवेदनशील माहिती एकाच उल्लंघनात उघड केली जाऊ शकते.
हल्ला कसा झाला – LiteLLM सप्लाय चेन
LiteLLM ही घटना 27 मार्च रोजी घडली आणि एक आठवड्यापूर्वी आरोहित झालेल्या ट्रिव्ही सप्लाय चेन हल्ल्याचा परिणाम होता. मेंटेनरच्या तडजोड केलेल्या क्रेडेन्शियल्सचा वापर करून, TeamPCP हॅकिंग ग्रुपने 1.82.7 आणि 1.82.8 या दोन दुर्भावनापूर्ण LiteLLM PyPI पॅकेज आवृत्त्या प्रकाशित केल्या, ज्या सुमारे 40 मिनिटांसाठी डाउनलोडसाठी उपलब्ध होत्या. LiteLLM 36 टक्के क्लाउड वातावरणात उपस्थित असल्याचा अंदाज आहे.
LiteLLM ही एक मुक्त-स्रोत लायब्ररी आहे जी हजारो AI कंपन्या आणि विकासक एकाच युनिफाइड इंटरफेसद्वारे एकाधिक AI मॉडेल प्रदात्यांशी कनेक्शन व्यवस्थापित करण्यासाठी वापरतात. हे, एआय डेव्हलपमेंट जगामध्ये, एक व्यापकपणे विश्वासार्ह पायाभूत सुविधा घटकाच्या समतुल्य आहे ज्याचा विचार न करता जवळजवळ प्रत्येकजण त्यावर अवलंबून असतो.
TeamPCP ने 1.82.7 आणि 1.82.8 आवृत्त्यांमध्ये तीन-स्टेज दुर्भावनापूर्ण बॅकडोअर इंजेक्ट केले, जे क्रेडेन्शियल्स काढण्यासाठी आणि सतत सिस्टम प्रवेश स्थापित करण्यासाठी डिझाइन केले होते.
जरी दुर्भावनापूर्ण आवृत्त्या फक्त अंदाजे 40 मिनिटांसाठी उपलब्ध होत्या, तरीही मर्करसह हजारो कंपन्यांद्वारे पॅकेजेस आपोआप डाउनलोड करण्यासाठी ती विंडो पुरेशी होती ज्यांची प्रणाली लायब्ररीची नवीनतम आवृत्ती स्वयंचलितपणे खेचण्यासाठी कॉन्फिगर केलेली होती.
Mercor ने TechCrunch ला सांगितले की LiteLLM च्या प्रकल्पाच्या अलीकडील तडजोडीमुळे प्रभावित झालेल्या हजारो कंपन्यांपैकी ती एक आहे, जी TeamPCP नावाच्या हॅकिंग गटाशी जोडलेली होती.
Lapsus$ काय चोरी केल्याचा दावा करते
हॅकिंग कलेक्टिव्ह Lapsus$ ने डार्क वेबवर लाइव्ह लिलावासाठी Mercor चा प्लॅटफॉर्म डेटा सूचीबद्ध केला आहे, ज्याने इच्छुक खरेदीदारांना ऑफर देण्यास प्रवृत्त केले आहे. कंपनीच्या टेलस्केल व्हीपीएनचा भंग करून 4-टेराबाइट डेटासेटचा संपूर्ण भाग काढून टाकल्याचा दावा धमकी देणारे कलाकार करतात. विस्तृतपणे तपशीलवार चोरलेल्या कॅशेमध्ये 939GB प्लॅटफॉर्म स्त्रोत कोड, 211GB वापरकर्ता डेटाबेस आणि व्हिडिओ मुलाखती आणि ओळख पडताळणी पासपोर्ट असलेल्या 3TB स्टोरेज बकेटचा समावेश आहे.
ओळख पडताळणी पासपोर्ट तपशील विशेषतः चिंताजनक आहे. Mercor च्या प्लॅटफॉर्मवर कंत्राटदारांनी प्लॅटफॉर्म वापरण्यासाठी त्यांची ओळख सत्यापित करणे आवश्यक आहे, म्हणजे भारतीय डॉक्टर, वकील, वैज्ञानिक आणि Mercor द्वारे करार करणाऱ्या इतर डोमेन तज्ञांसह जगभरातील संभाव्य हजारो व्यावसायिकांचा पासपोर्ट डेटा चोरीला गेलेल्या डेटासेटमध्ये असू शकतो.
Lapsus$ ने कथितपणे Mercor कडून घेतलेल्या डेटाचा नमुना शेअर केला ज्याचे TechCrunch ने पुनरावलोकन केले. नमुन्यामध्ये स्लॅक डेटाचा संदर्भ देणारी सामग्री आणि तिकीट डेटा असल्याचे दिसले, तसेच त्याच्या प्लॅटफॉर्मवर मर्कोरच्या एआय सिस्टम आणि कंत्राटदार यांच्यातील संभाषणे दर्शविणारे दोन व्हिडिओ समाविष्ट आहेत.
Lapsus$ आणि TeamPCP कोण आहेत
TeamPCP अभियांत्रिकी तथाकथित पुरवठा साखळी हल्ल्यांसाठी ओळखले जाते, ज्यामध्ये कोडबेस किंवा सॉफ्टवेअर लायब्ररीमध्ये मालवेअर लावले जाते जे प्रोग्रामर स्वतःचा कोड लिहिताना मोठ्या प्रमाणावर वापरतात. याउलट Lapsus$ हा एक जुना हॅकिंग गट आहे, जो सामाजिक अभियांत्रिकी आणि फिशिंग हल्ल्यांसाठी ओळखला जातो जो वापरकर्ता लॉग-इन क्रेडेन्शियल्स चोरण्यावर लक्ष केंद्रित करतो आणि नंतर ती क्रेडेन्शियल्स वापरून संवेदनशील डेटामध्ये प्रवेश मिळवतो आणि चोरतो.
सायबर सिक्युरिटी फर्म Wiz च्या सुरक्षा संशोधकांच्या म्हणण्यानुसार, TeamPCP ने अलीकडेच Lapsus$ तसेच रॅन्समवेअर आणि खंडणीमध्ये माहिर असलेल्या इतर गटांसह सहयोग करण्यास सुरुवात केली आहे असे मानले जाते.
पुरवठा शृंखला हल्ला तज्ञ आणि खंडणी तज्ञ यांच्यातील सहयोग हा एक विकासासंबंधीचा आहे. TeamPCP तडजोड केलेल्या ओपन सोर्स लायब्ररींद्वारे हजारो कंपन्यांमध्ये प्रवेश करते. Lapsus$ नंतर खंडणी आणि गडद वेब डेटा विक्रीद्वारे प्रवेशाची कमाई करते. दोन्ही गट स्वतंत्रपणे कार्यान्वित करू शकतील त्यापेक्षा ते एकत्रितपणे अधिक औद्योगिक आणि स्केलेबल आक्रमण मॉडेलचे प्रतिनिधित्व करतात.
व्यापक समस्येचे प्रमाण
मर्कर हा एकमेव बळी नाही आणि शेवटचाही नाही. व्हीएक्स-अंडरग्राउंड येथील धोक्याच्या शिकारींचा अंदाज आहे की डेटा चोरांनी 500,000 मशीनमधून डेटा आणि रहस्ये बाहेर काढली आहेत आणि RSA कॉन्फरन्समध्ये, मँडियंट कन्सल्टिंग सीटीओ चार्ल्स कारमाकल यांनी पत्रकारांना सांगितले की Google-मालकीच्या घटना प्रतिसाद व्यवसायाला 1,000 हून अधिक प्रभावित SaaS डील वातावरणात माहिती आहे जी chaPca सोबत सक्रियपणे पुरवठा करणाऱ्या वातावरणात होते. हल्ले त्या 1,000-अधिक डाउनस्ट्रीम पीडितांचा विस्तार कदाचित आणखी 500, आणखी 1,000, कदाचित आणखी 10,000 मध्ये होईल, कार्माकल म्हणाले.
मर्कर हे पुरवठा साखळी हल्ल्यातून उद्भवलेल्या खंडणीच्या प्रयत्नांच्या येणाऱ्या लाटेचे प्रारंभिक सूचक असू शकते. TeamPCP ने मोठ्या प्रमाणावर प्रभावित कंपन्यांना लक्ष्य करण्यासाठी रॅन्समवेअर आणि खंडणी गटांसोबत भागीदारी करण्याचा आपला हेतू जाहीरपणे व्यक्त केला आहे. खरे असल्यास, ती रणनीती भूतकाळात हॅकिंग गटांद्वारे चालवलेल्या मोहिमांचे प्रतिबिंब असेल. 2023 मध्ये, Cl0p रॅन्समवेअर टोळीच्या हल्ल्याने MOVEit, मोठ्या प्रमाणात वापरल्या जाणाऱ्या फाइल ट्रान्सफर टूलमधील असुरक्षिततेचा गैरफायदा घेतला, एकाच वेळी शेकडो संस्थांचे उल्लंघन केले, शेवटी सरकारी संस्था, वित्तीय संस्था आणि आरोग्य सेवा प्रदात्यांच्या जवळपास 100 दशलक्ष व्यक्तींना प्रभावित केले.
मर्करने काय म्हटले आहे
Mercor चे प्रवक्ते Heidi Hagberg यांनी पुष्टी केली की कंपनीने सुरक्षेच्या घटनेवर नियंत्रण ठेवण्यासाठी आणि सुधारण्यासाठी त्वरित हलविले आहे. अग्रगण्य तृतीय-पक्ष फॉरेन्सिक तज्ञांद्वारे समर्थित आम्ही सखोल तपास करत आहोत. आम्ही आमच्या ग्राहकांशी आणि कंत्राटदारांशी थेट संवाद साधत राहू आणि शक्य तितक्या लवकर या प्रकरणाचे निराकरण करण्यासाठी आवश्यक संसाधने देऊ.
मर्करने सांगितले की आमच्या कामकाजावर मर्यादित परिणाम झाला आहे. Lapsus$ चे चार टेराबाइट्स चोरीला गेलेले डेटाचे दावे अचूक आहेत की नाही, कॉन्ट्रॅक्टर पासपोर्ट डेटा ऍक्सेस केला गेला आहे का, किंवा कोणता विशिष्ट ग्राहक डेटा उघड झाला आहे याविषयी विशिष्ट प्रश्नांची उत्तरे देण्यास कंपनीने नकार दिला आहे.
भारताचे परिमाण
एआय कंपन्यांशी करार करण्यासाठी मर्कोरच्या प्लॅटफॉर्मचा वापर करणाऱ्या भारतीय व्यावसायिकांसाठी, उल्लंघनामुळे विशिष्ट चिंता निर्माण होतात. Mercor चे भारतात लक्षणीय ऑपरेशन्स आहेत, जे भारतीय व्यावसायिकांना औषध, कायदा आणि तांत्रिक क्षेत्रांमध्ये AI प्रशिक्षण प्रकल्पांसह जोडतात. Mercor वापरत असलेल्या कंत्राटदार पडताळणी प्रक्रियेमध्ये ओळख दस्तऐवजांचा समावेश होतो. ओळख पडताळणी पासपोर्ट असलेल्या 3TB स्टोरेज बकेटचा Lapsus$ दावा अचूक असल्यास, प्लॅटफॉर्मवरील भारतीय कंत्राटदारांनी त्यांच्या पासपोर्ट डेटाशी तडजोड केली असावी.
ज्या भारतीय कंत्राटदारांनी Mercor सोबत काम केले आहे त्यांनी कंपनीकडून कोणता विशिष्ट डेटा ऍक्सेस केला गेला आणि त्यांची वैयक्तिक माहिती उल्लंघनाचा भाग आहे की नाही याबद्दल कंपनीकडून कोणत्याही अधिकृत संप्रेषणासाठी निरीक्षण केले पाहिजे. युनायटेड स्टेट्समध्ये आधीपासूनच सुरू असलेल्या वर्ग कृती खटल्याची चौकशी अखेरीस जागतिक स्तरावर प्रभावित कंत्राटदारांपर्यंत वाढू शकते.
Comments are closed.