एआई रिक्रूटिंग फर्म मर्कोर पर साइबर हमले का असर लाइटएलएलएम उल्लंघन से जुड़ा है

ओपन-सोर्स समझौते के बाद मर्कोर ने डेटा चोरी की पुष्टि की

एआई-संचालित भर्ती स्टार्टअप मर्कोर ने पुष्टि की है कि उसे एक महत्वपूर्ण साइबर हमले का सामना करना पड़ा है, जिसके कारण एक्सटॉर्शन हैकिंग क्रू द्वारा डेटा चोरी हुई है। यह घटना कथित तौर पर ओपन-सोर्स लाइटएलएलएम प्रोजेक्ट के व्यापक समझौते से जुड़ी है, जो एक लोकप्रिय प्रॉक्सी सर्वर है जिसे विभिन्न बड़े भाषा मॉडल (एलएलएम) के साथ बातचीत को सरल बनाने के लिए डिज़ाइन किया गया है।

यह उल्लंघन, जिसे साइबर क्राइम सिंडिकेट द्वारा जिम्मेदारी का दावा करने के बाद 23 अक्टूबर, 2023 को मर्कर ने सार्वजनिक रूप से स्वीकार किया, एआई कंपनियों की बढ़ती भेद्यता और ओपन-सोर्स सॉफ़्टवेयर आपूर्ति श्रृंखला में निहित जटिल सुरक्षा जोखिमों पर प्रकाश डालता है। हालांकि मर्कोर ने अभी तक चुराए गए डेटा की पूरी सीमा या प्रकृति का खुलासा नहीं किया है, लेकिन एक जबरन वसूली समूह की भागीदारी का मतलब है कि फिरौती मांगने के इरादे से संवेदनशील जानकारी को बाहर निकाला गया था।

लाइटएलएलएम कनेक्शन: एक आपूर्ति श्रृंखला भेद्यता

लाइटएलएलएम का लिंक विशेष रूप से व्यापक एआई विकास समुदाय के लिए चिंताजनक है। लाइटएलएलएम एक मध्यस्थ के रूप में कार्य करता है, जो डेवलपर्स को ओपनएआई, एंथ्रोपिक और Google जैसे प्रदाताओं से एलएलएम तक पहुंचने के लिए एकीकृत एपीआई का उपयोग करने की अनुमति देता है। इसका समझौता हमलावरों के लिए किसी भी संगठन के सिस्टम में घुसपैठ करने का एक संभावित मार्ग सुझाता है जो अपने एआई इंटरैक्शन को प्रबंधित करने के लिए इस पर निर्भर है।

सिनैप्स लैब्स के डॉ. अन्या शर्मा सहित सुरक्षा शोधकर्ताओं ने लंबे समय से ओपन-सोर्स निर्भरता से जुड़े 'आपूर्ति श्रृंखला' जोखिमों के बारे में चेतावनी दी है। डॉ. शर्मा ने डेलीविज़ को समझाया, "जब लाइटएलएलएम जैसे मूलभूत घटक से समझौता किया जाता है, तो यह एक लहरदार प्रभाव पैदा करता है।" "संगठन दक्षता के लिए इन उपकरणों को एकीकृत करते हैं, अक्सर उनकी सुरक्षा स्थिति की पूरी तरह से जांच किए बिना। एक भी भेद्यता हजारों डाउनस्ट्रीम उपयोगकर्ताओं को उजागर कर सकती है।"

लाइटएलएलएम समझौते की विशिष्ट प्रकृति की जांच चल रही है, लेकिन विशेषज्ञों का सुझाव है कि यह व्यापक रूप से उपयोग किए जाने वाले संस्करण में दुर्भावनापूर्ण कोड इंजेक्शन से लेकर क्रेडेंशियल चोरी तक हो सकता है जो प्रॉक्सी के माध्यम से बहने वाले उपयोगकर्ता डेटा तक अनधिकृत पहुंच की अनुमति देता है।

Mercor और इसके उपयोगकर्ताओं के लिए निहितार्थ

Mercor के लिए, एक AI कंपनियों के साथ उम्मीदवारों का मिलान करके भर्ती को सुव्यवस्थित करने के लिए डिज़ाइन किया गया प्लेटफ़ॉर्म, जोखिम में संभावित डेटा पर्याप्त है। इसमें नौकरी के उम्मीदवारों की व्यक्तिगत रूप से पहचान योग्य जानकारी (पीआईआई) शामिल हो सकती है - जैसे नाम, संपर्क विवरण, बायोडाटा, कार्य इतिहास और संभावित रूप से मूल्यांकन परिणाम या साक्षात्कार नोट्स। मर्कोर की सेवाओं का उपयोग करने वाली कंपनियों को अपने मालिकाना नियुक्ति डेटा या आंतरिक संचार से समझौता हो सकता है।

मर्कोर ने कहा है कि वह घटना की जांच करने और अपने सिस्टम को सुरक्षित करने के लिए साइबर सुरक्षा विशेषज्ञों के साथ काम कर रहा है। मर्कोर के प्रवक्ता ने एक संक्षिप्त बयान में कहा, "हम इस मामले को बेहद गंभीरता से ले रहे हैं और अपने उपयोगकर्ताओं के साथ पारदर्शिता के लिए प्रतिबद्ध हैं।" उन्होंने अपनी जांच आगे बढ़ने पर और अपडेट का वादा किया। कंपनी ने अभी तक इस बात की पुष्टि नहीं की है कि उसने जबरन वसूली करने वालों से संपर्क किया है या नुकसान को कम करने के लिए वह क्या कदम उठा रही है।

एआई स्टार्टअप और डेटा सुरक्षा के लिए व्यापक खतरा

यह घटना एक बढ़ती प्रवृत्ति को रेखांकित करती है: एआई स्टार्टअप, जो अक्सर तेजी से नवाचार और तैनाती को प्राथमिकता देते हैं, साइबर अपराधियों के लिए प्रमुख लक्ष्य बन रहे हैं। बड़ी मात्रा में डेटा तक उनकी पहुंच - उपयोगकर्ता इंटरैक्शन से लेकर मालिकाना एल्गोरिदम तक - उन्हें आकर्षक लक्ष्य बनाती है। ओपन-सोर्स टूल पर निर्भरता, विकास को गति देने के साथ-साथ, कठोर सुरक्षा प्रोटोकॉल के साथ प्रबंधित नहीं होने पर संभावित कमजोरियों का भी परिचय देती है।

जिस गति से एआई प्रौद्योगिकियां विकसित हो रही हैं, वह अक्सर मजबूत सुरक्षा ढांचे के विकास और कार्यान्वयन से आगे निकल जाती है। यह एक ऐसा वातावरण बनाता है जहां परिष्कृत हमले, चाहे प्रत्यक्ष उल्लंघनों या आपूर्ति श्रृंखला समझौतों के माध्यम से, महत्वपूर्ण और दूरगामी परिणाम हो सकते हैं।

दैनिक उपयोगकर्ताओं और व्यवसायों के लिए व्यावहारिक कदम

उन व्यक्तियों के लिए जिनका डेटा एआई भर्ती प्लेटफार्मों या ओपन-सोर्स घटकों पर निर्भर अन्य सेवाओं द्वारा प्रबंधित किया जा सकता है, सतर्कता महत्वपूर्ण है:

• खातों की निगरानी करें: किसी भी संदिग्ध गतिविधि के लिए नियमित रूप से अपने वित्तीय विवरण और क्रेडिट रिपोर्ट की जांच करें। क्रेडिट निगरानी सेवाओं का उपयोग करने पर विचार करें।
• मजबूत, अद्वितीय पासवर्ड: सुनिश्चित करें कि आप अपने सभी ऑनलाइन खातों के लिए मजबूत, अद्वितीय पासवर्ड का उपयोग कर रहे हैं, विशेष रूप से नौकरी आवेदन या व्यक्तिगत डेटा से संबंधित खातों के लिए। जहां भी संभव हो, दो-कारक प्रमाणीकरण (2एफए) सक्षम करें।
• फ़िशिंग के बारे में संदेह रखें: अनचाहे ईमेल या संदेशों से सावधान रहें, विशेष रूप से वे जो मर्कर या आपके द्वारा उपयोग की जाने वाली अन्य सेवाओं से होने का दावा करते हैं, व्यक्तिगत जानकारी मांगते हैं या आपको संदिग्ध लिंक पर निर्देशित करते हैं।
• गोपनीयता नीतियों की समीक्षा करें: समझें कि आप जिन सेवाओं का उपयोग करते हैं वे आपके डेटा को कैसे संभालते हैं और उसकी सुरक्षा करते हैं।

एआई टूल को एकीकृत करने वाले व्यवसायों के लिए, विशेष रूप से ओपन-सोर्स नींव पर निर्मित, मर्कोर घटना एक स्पष्ट अनुस्मारक के रूप में कार्य करती है:

• उचित परिश्रम: सभी तृतीय-पक्ष विक्रेताओं और ओपन-सोर्स परियोजनाओं की उनकी सुरक्षा प्रथाओं के लिए पूरी तरह से जांच करें।
• नियमित ऑडिट: बाहरी एआई सेवाओं को एकीकृत करने वाले सिस्टम सहित अपने सिस्टम पर लगातार सुरक्षा ऑडिट और प्रवेश परीक्षण करें।
• डेटा न्यूनीकरण: केवल डेटा एकत्र और संग्रहीत करें। नितांत आवश्यक है. आपके पास जितना कम डेटा होगा, उल्लंघन का जोखिम उतना ही कम होगा।
• घटना प्रतिक्रिया योजना: डेटा उल्लंघनों के लिए एक स्पष्ट और परीक्षणित घटना प्रतिक्रिया योजना रखें।

व्यापक रूप से उपयोग किए जाने वाले ओपन-सोर्स एआई घटक से जुड़ा मर्कोर उल्लंघन, पूरे एआई पारिस्थितिकी तंत्र के लिए एक महत्वपूर्ण चेतावनी है, जिसमें सुरक्षा के साथ-साथ नवाचार, उपयोगकर्ताओं के विश्वास की रक्षा और तेजी से एआई-संचालित दुनिया में डेटा की अखंडता को प्राथमिकता दी जानी चाहिए।