Mercor-Datenleck: 4 TB an Sprachproben + Ausweisen gestohlen – Was Angreifer jetzt tun können

Am 4. April 2026 veröffentlichte die Erpressergruppe Lapsus$ Mercor auf ihrer Leak-Seite. Der Datendump umfasst etwa vier Terabyte und bündelt Sprachbiometrie zusammen mit staatlich ausgestellten Ausweisdokumenten von über 40.000 Auftragnehmern, die Daten beschriftet, Textpassagen vorgelesen und Verifizierungsanrufe für KI-Training durchgeführt haben.

Warum dieser Datenleak anders ist

Die meisten Sprachleaks fallen in zwei Kategorien: Callcenter-Aufnahmen ohne einfache Identitätszuordnung oder Ausweisdokumenten-Leaks ohne Audio. Mercor vereinte beides. Der Onboarding-Prozess für Auftragnehmer forderte einen Scan des Reisepasses oder Führerscheins, ein Selfie mit der Webcam und dann eine sitzende Sprachaufnahme beim Vorlesen vorgegebener Texte. Diese Abfolge ist genau das, was ein synthetischer Stimmklon-Dienst als Input benötigt. Hochwertiges Stimmklonen erfordert mittlerweile etwa 15 Sekunden sauberes Referenzaudio – die Mercor-Aufnahmen umfassen durchschnittlich 2–5 Minuten studio-saubere Sprache pro Auftragnehmer, gepaart mit einem verifizierten Ausweis.

Was Angreifer tun können

Diese Bedrohungsmodelle sind bereits in freier Wildbahn dokumentiert:

• Umgehung der Bankverifizierung: Mehrere US-amerikanische und britische Banken verwenden Stimmabdruck als einen von zwei Faktoren. Ein Klon, der eine Challenge-Phrase vorliest, passiert die Audio-Sperre, und es bleibt nur eine Wissensfrage aus demselben durchgesickerten Datensatz.
• Vishing beim Arbeitgeber des Opfers: Anruf bei der Personalabteilung oder Finanzabteilung, der sich als Mitarbeiter ausgibt, um Gehaltszahlungen umzuleiten, eine Überweisung zu veranlassen oder einen Arbeitsplatz zu entsperren. Krebs on Security listet seit 2023 mehr als zwei Dutzend bestätigte Fälle auf.
• Deepfake-Videoanrufe (Arup-Vorlage): 2024 überwies ein Finanzmitarbeiter bei Arup ~25 Millionen Dollar nach einem mehrpersonen Deepfake-Videoanruf, der aus öffentlichem Filmmaterial erstellt wurde – Mercor-Leaks enthalten Studio-Audio plus einen verifizierten Ausweis.
• Versicherungsbetrug: Pindrop meldete für 2025 einen Anstieg synthetischer Stimmangriffe gegen Versicherungs-Callcenter um 475 % im Jahresvergleich.
• Romance- und Enkeltrickbetrug: Das FBI IC3 verzeichnete 2026 Verluste in Höhe von 2,3 Milliarden Dollar für Opfer ab 60 Jahren; die am schnellsten wachsende Kategorie waren Notfall-Identitätsdiebstahl-Anrufe.

So überprüfen Sie, ob Ihre Stimme missbraucht wird

Wenn Sie bis 2025 eine Sprachprobe bei Mercor oder einem anderen KI-Trainingsbroker hochgeladen haben, behandeln Sie Ihre Stimme wie ein durchgesickertes Passwort. Sie können sie nicht ändern, aber Sie können ändern, was sie freischaltet:

• Überprüfen Sie Ihren öffentlichen Audio-Fußabdruck: Durchsuchen Sie YouTube, Podcast-Verzeichnisse und alte Zoom-Aufnahmen nach Sprachproben. Entfernen Sie, was Sie können.