Mercor, Açık Kaynak LiteLLM Projesindeki Açığa Bağlı Siber Saldırıyla Karşı Karşıya
AI işe alım platformu Mercor, LiteLLM açık kaynak projesindeki bir güvenlik açığının kötüye kullanılmasının ardından veri hırsızlığı ve şantaj iddiasıyla siber saldırı yaşadı.
Giriş
AI tabanlı işe alım çözümü sunan Mercur (Mercor) startup'ı, şirket sistemlerinden veri çalındığını iddia eden bir extorsiyon grubunun açıklaması sonrasında bir güvenlik olayını resmen onayladı. Saldırganlar, çalınan verileri ifşa etmeyi tehdit ederek şirketten fidye talep etti.
Arka Plan
Mercor, doğal dil işleme ve büyük dil modelleri (LLM) kullanarak iş ilanlarını otomatikleştiren ve aday eşleştirmesini hızlandıran bir platform sunuyor. Şirket, son dönemde açık kaynak topluluğu tarafından geliştirilen LiteLLM projesini, kendi altyapısında LLM maliyetlerini kontrol altında tutmak için entegre etmişti. LiteLLM, çeşitli bulut sağlayıcılarından LLM'leri yöneten bir ara katman olarak popülerlik kazanmıştı.
Saldırının Detayları ve Endüstri Etkisi
TechCrunch kaynaklı rapora göre, saldırganlar LiteLLM kod tabanındaki bir güvenlik açığını istismar ederek Mercor’un veri depolama ortamına yetkisiz erişim sağladı. Çalınan bilgiler arasında aday özgeçmişleri, şirket içi iletişim ve bazı API anahtarları bulunuyor. Bu olay, açık kaynak bileşenlerinin tedarik zinciri güvenliğinin ne kadar kritik olduğunu bir kez daha ortaya koydu. Uzmanlar, şirketlerin üçüncü taraf kütüphaneleri düzenli olarak denetlemesi ve güvenlik yamalarını hızlıca uygulamasını öneriyor.
