La société de données IA Mercor, évaluée à 10 milliards de dollars, confirme avoir été victime d'une importante fuite de données, impliquant des clients tels qu'OpenAI, Anthropic, etc.

Message de Deep Tide TechFlow, le 03 avril, selon Fortune : la startup Mercor, qui fournit des données d’entraînement à des entreprises d’IA telles que OpenAI, Anthropic et Meta, confirme avoir été victime d’une importante faille de sécurité. L’incident trouve son origine dans une attaque de la chaîne d’approvisionnement visant la bibliothèque open source LiteLLM, largement utilisée par les développeurs pour connecter des services d’IA, avec des téléchargements quotidiens atteignant plusieurs millions.

L’attaque a été menée par le groupe de hackers TeamPCP, qui a injecté du code malveillant dans LiteLLM pour voler des identifiants. Un autre groupe de hackers, Lapsus$, a ensuite affirmé avoir obtenu jusqu’à 4 To de données de Mercor, y compris le code source, des enregistrements de base de données, des échanges internes sur Slack et des vidéos de conversations sur la plateforme, etc. Selon des informations non confirmées, des ensembles de données de certains clients de Mercor et des informations confidentielles sur ses projets d’IA pourraient avoir été divulgués. Mercor indique avoir rapidement pris des mesures pour contenir la situation et avoir lancé une enquête forensique menée par un tiers.