La société de données AI Mercor confirme avoir été victime d'une importante fuite de données, impliquant des clients tels qu'OpenAI, Anthropic, etc.

Golden Finance rapporte qu’au 3 avril, selon Fortune, la société de démarrage Mercor, qui fournit des données d’entraînement à des entreprises d’IA telles que OpenAI, Anthropic et Meta, a confirmé avoir subi une faille de sécurité majeure. Cet incident trouve son origine dans une attaque de la chaîne d’approvisionnement visant la bibliothèque open source LiteLLM, largement utilisée par les développeurs pour connecter des services d’IA, avec des téléchargements quotidiens atteignant plusieurs millions.
L’attaque a été menée par le groupe de pirates TeamPCP, via l’insertion de code malveillant dans LiteLLM afin de voler des identifiants. Un autre groupe de hackers, Lapsus$, a ensuite affirmé avoir obtenu jusqu’à 4 To de données de Mercor, y compris du code source, des enregistrements de base de données, des communications internes Slack et des vidéos de conversations sur la plateforme, etc. D’après des informations non vérifiées, certains ensembles de données de certains clients de Mercor ainsi que des informations confidentielles sur ses projets d’IA pourraient avoir été divulgués. Mercor indique avoir pris rapidement des mesures pour contenir la situation et avoir lancé une enquête médico-légale confiée à un tiers.