ओपनएआई और एंथ्रोपिक सहित प्रमुख एआई फर्मों को डेटा प्रदान करने वाले 10 अरब डॉलर के एआई स्टार्टअप मर्कोर ने पुष्टि की है कि यह एक सुरक्षा उल्लंघन की चपेट में आ गया है, जिससे संवेदनशील कंपनी और उपयोगकर्ता डेटा उजागर हो सकता है।
सुरक्षा घटना ओपन-सोर्स प्रोजेक्ट लाइटएलएलएम से जुड़े आपूर्ति-श्रृंखला हमले से जुड़ी थी। मर्कोर ने मंगलवार को इसकी पुष्टि की टेकक्रंच यह लाइटएलएलएम की सुरक्षा से समझौते से प्रभावित “हजारों कंपनियों में से एक” थी।
जबकि लाइटएलएलएम उल्लंघन टीमपीसीपी नामक हैकिंग समूह से जुड़ा था, लैप्सस$ नामक एक अन्य समूह, जो पीड़ितों से जबरन वसूली के लिए जाना जाता है, ने मर्कर को लक्षित करने का दावा किया है।
यह तुरंत स्पष्ट नहीं था कि लैप्सस$ ने चुराया हुआ मर्कोर डेटा कैसे प्राप्त किया या क्या उसने टीमपीसीपी के साइबर हमले में भाग लिया था, टेकक्रंच.
हम हैक के बारे में क्या जानते हैं
लाइटएलएलएम एक उपकरण है जिसका उपयोग डेवलपर्स अपने एप्लिकेशन को ओपनएआई और एंथ्रोपिक जैसे प्रदाताओं की एआई सेवाओं से जोड़ने के लिए करते हैं, और साइबर सुरक्षा फर्म सिंक के अनुसार, आमतौर पर इसे प्रति दिन लाखों बार डाउनलोड किया जाता है।
टीमपीसीपी ने कथित तौर पर टूल को लक्षित किया, क्रेडेंशियल निकालने और काटने के लिए लाइटएलएलएम के अंदर दुर्भावनापूर्ण कोड लगाया।
हालाँकि टीमपीसीपी द्वारा लगाए गए दुर्भावनापूर्ण कोड को कुछ ही घंटों में पहचान लिया गया और हटा दिया गया, लेकिन यह उद्योग में व्यापक रूप से फैल गया था।
लैप्सस$ ने कथित तौर पर मर्कोर से लिए गए डेटा का एक नमूना साझा करते हुए अपनी लीक साइट पर उल्लंघन की जिम्मेदारी भी ली। रिपोर्ट के अनुसार, नमूने में आमतौर पर उपयोग किए जाने वाले कार्यस्थल संचार ऐप स्लैक से सामग्री संदर्भ डेटा, साथ ही टिकटिंग डेटा भी शामिल था टेकक्रंच. इसमें दो वीडियो शामिल थे जिनमें कथित तौर पर सिलिकॉन वैली स्टार्टअप के एआई सिस्टम और उसके प्लेटफॉर्म पर ठेकेदारों के बीच बातचीत दिखाई गई थी।
टीमपीसीपी, जिसने लाइटएलएलएम के खिलाफ साइबर हमले को अंजाम दिया था, तथाकथित आपूर्ति श्रृंखला हमलों की इंजीनियरिंग के लिए प्रसिद्ध है, जो अपने स्वयं के कोड लिखते समय डेवलपर्स द्वारा व्यापक रूप से उपयोग किए जाने वाले सॉफ़्टवेयर लाइब्रेरी को लक्षित करते हैं।
इस बीच, लैप्सस$ एक पुराना साइबर अपराध समूह है जो सोशल इंजीनियरिंग और फ़िशिंग हमलों के लिए जाना जाता है जो संवेदनशील डेटा तक पहुंचने और चोरी करने के लिए लॉग-इन क्रेडेंशियल को लक्षित करता है। यह समूह अपने पीड़ितों से जबरन वसूली करने के लिए भी कुख्यात है।
क्या उल्लंघन पर काबू पा लिया गया है?
मर्कोर के प्रवक्ता हेइडी हैगबर्ग ने बताया टेकक्रंच एआई स्टार्टअप ने स्थिति को नियंत्रित करने के लिए “तुरंत कदम उठाया” और कहा कि एक तृतीय-पक्ष फोरेंसिक जांच शुरू की गई थी।
हैगबर्ग ने कहा, “हमारे ग्राहकों और ठेकेदारों की गोपनीयता और सुरक्षा मर्कोर में हम जो कुछ भी करते हैं, उसके लिए मूलभूत है।”
हालाँकि, हैगबर्ग ने इस पर कोई टिप्पणी नहीं की कि क्या यह घटना लैप्सस$ के दावों से जुड़ी थी या क्या ग्राहकों और ठेकेदारों के डेटा तक पहुंच बनाई गई थी और उसका दुरुपयोग किया गया था।
यह भी स्पष्ट नहीं है कि लाइटएलएलएम-संबंधित डेटा उल्लंघन से कितनी कंपनियां प्रभावित हुईं।
मर्कोर के बारे में
2023 में स्थापित और सिलिकॉन वैली के सबसे लोकप्रिय स्टार्ट-अप में से एक मानी जाने वाली मर्कॉर भारत सहित विभिन्न बाजारों में डॉक्टरों, वैज्ञानिकों, वकीलों आदि जैसे विशेषज्ञों को अनुबंधित करके मॉडल को प्रशिक्षित करने में मदद करने के लिए ओपनएआई और एंथ्रोपिक समेत एआई कंपनियों के साथ काम करती है।
अक्टूबर 2025 में, मर्कोर ने अक्टूबर 2025 में फेलिसिस वेंचर्स के नेतृत्व में सीरीज सी फंडिंग राउंड में 350 मिलियन डॉलर जुटाए, और इसका मूल्य 10 बिलियन डॉलर था।
