선도적인 인공지능(AI) 기업에 훈련 데이터를 제공하는 스타트업 머코(Mercor)가 민감한 회사 및 사용자 데이터를 노출했을 수 있는 보안 침해의 피해자임을 확인했습니다.
100억 달러 가치로 평가되는 3년 된 스타트업인 이 스타트업은 AI 모델의 기능을 향상시키는 데이터를 제공하기 위해 의학, 법률, 문학에 이르기까지 다양한 분야의 전문가를 모집합니다. 클라이언트에는 Anthropic, OpenAI 및 Meta가 포함됩니다.
온라인으로 유포되고 있는 확인되지 않은 보고서에 따르면 일부 Mercor 고객이 사용하는 데이터 세트와 해당 고객의 비밀 AI 프로젝트에 대한 정보가 침해로 인해 손상되었을 수 있습니다.
이 사건은 애플리케이션을 인공 지능 서비스에 연결하는 데 널리 사용되는 오픈 소스 라이브러리인 LiteLLM과 관련된 공급망 공격과 관련이 있습니다.
이 회사는 TeamPCP라는 해킹 그룹과 연결된 LiteLLM 공급망 공격의 영향을 받은 “수천 개의 회사 중 하나”라고 Fortune에 확인했습니다. 머코 대변인 하이디 해그버그는 회사가 사건을 억제하고 해결하기 위해 “즉시 조치”를 취했으며 제3자 포렌식 조사가 진행 중이라고 말했습니다.
Hagberg는 “고객과 계약자의 개인 정보 보호와 보안은 Mercor에서 수행하는 모든 일의 기본입니다.”라고 말했습니다. “우리는 적절하다면 고객 및 계약자와 계속해서 직접 소통할 것이며 문제를 가능한 한 빨리 해결하기 위해 필요한 자원을 투입할 것입니다.”
Mercor는 지난 10월 벤처 캐피탈 회사인 Felicis Ventures가 주도한 시리즈 C 라운드에서 3억 5천만 달러를 투자받아 실리콘 밸리에서 가장 인기 있는 스타트업 중 하나로 널리 알려져 있습니다.
TeamPCP 해커 그룹은 개발자가 OpenAI 및 Anthropic과 같은 회사의 인공 지능 서비스에 애플리케이션을 연결하는 데 사용하는 도구인 LiteLLM에 악성 코드를 심었습니다. 보안 회사 Snyk에 따르면 일반적으로 하루에 수백만 번 다운로드됩니다. 이 코드는 발견 후 몇 시간 내에 식별 및 제거되기 전에 자격 증명을 수집하고 업계 전반에 널리 확산되도록 설계되었습니다.
악명 높은 강탈 해커 갱단인 Lapsus$는 나중에 Mercor를 공격하고 해당 데이터에 접근했다고 주장했습니다. 갱단이 어떻게 데이터를 획득했는지는 즉각 명확하지 않으며 머코는 해킹 그룹의 주장에 대한 포춘의 구체적인 질문에 응답하지 않았습니다. Infosecurity 매거진의 기사에서 인용된 사이버 보안 회사인 Wiz의 보안 연구원에 따르면 TeamPCP는 최근 Lapsus$ 및 랜섬웨어 및 강탈을 전문으로 하는 다른 그룹과 협력하기 시작한 것으로 보입니다.
TeamPCP는 소위 공급망 공격을 엔지니어링하는 것으로 알려져 있습니다. 이 공격에서는 프로그래머가 자신의 코드를 작성할 때 널리 사용하는 코드 베이스나 소프트웨어 라이브러리에 악성 코드를 배치합니다. 반면 Lapsus$는 사용자 로그인 자격 증명을 훔친 다음 해당 자격 증명을 사용하여 액세스 권한을 얻고 민감한 데이터를 훔치는 데 초점을 맞춘 사회 공학 및 피싱 공격으로 유명한 오래된 해킹 그룹입니다.
TechCrunch에 따르면 Lapsus$는 유출 사이트에 Slack 데이터로 보이는 내부 티켓 정보, Mercor의 AI 시스템과 플랫폼 계약업체 간의 대화를 보여주는 두 개의 비디오를 포함하여 도난당한 것으로 추정되는 데이터 샘플을 게시했습니다. Lapsus$는 소스 코드와 데이터베이스 로그를 포함하여 총 4테라바이트에 달하는 데이터를 획득했다고 주장합니다. 1테라바이트는 대략 1,000시간의 비디오 또는 1,000개의 브리태니커 백과사전에서 발견되는 데이터 양과 같습니다.
2023년에는 널리 사용되는 파일 전송 도구인 MOVEit의 취약점을 악용한 Cl0p 랜섬웨어 집단의 공격이 수백 개의 조직에 동시에 영향을 미쳤고, 궁극적으로 정부 기관, 금융 기관, 의료 제공업체 전반에 걸쳐 거의 1억 명에 달하는 사람들에게 영향을 미쳤습니다. 해당 캠페인의 강탈 시도는 몇 달 동안 계속되었습니다.
