Vazamento da Mercor: 4 TB de amostras de voz + IDs roubados – O que os atacantes podem fazer agora

✍️ OpenClawRadar📅 Publicado: April 27, 2026🔗 Source
Vazamento da Mercor: 4 TB de amostras de voz + IDs roubados – O que os atacantes podem fazer agora
Ad

Em 4 de abril de 2026, o grupo de extorsão Lapsus$ publicou a Mercor em seu site de vazamentos. O dump tem aproximadamente quatro terabytes, reunindo biometria de voz combinada com documentos de identidade emitidos pelo governo de mais de 40.000 contratados que rotularam dados, gravaram passagens de leitura e realizaram chamadas de verificação para treinamento de IA.

Por que esta violação é diferente

A maioria dos vazamentos de voz se enquadra em duas categorias: gravações de call centers sem mapeamento de identidade fácil ou vazamentos de documentos de identificação sem áudio. A Mercor fundiu ambos. O pipeline de integração de contratados pedia uma digitalização de passaporte ou carteira de motorista, uma selfie de webcam e, em seguida, uma gravação de voz sentada lendo scripts pré-definidos. Essa sequência é exatamente o que um serviço de clonagem de voz sintética precisa como entrada. A clonagem de voz de alta qualidade agora requer cerca de 15 segundos de áudio de referência limpo — as gravações da Mercor têm em média 2 a 5 minutos de fala de qualidade de estúdio por contratado, combinadas com um ID verificado.

Ad

O que os invasores podem fazer

Esses modelos de ameaça já estão documentados na natureza:

  • Burla de verificação bancária: Vários bancos dos EUA e do Reino Unido usam a impressão de voz como um dos dois fatores. Um clone lendo uma frase de desafio passa pelo portal de áudio, deixando apenas uma pergunta de conhecimento do mesmo conjunto de dados vazados.
  • Vishing para o empregador da vítima: Ligar para RH ou finanças fingindo ser o funcionário para redirecionar a folha de pagamento, solicitar uma transferência ou desbloquear uma estação de trabalho. Krebs on Security lista mais de duas dúzias de casos confirmados desde 2023.
  • Chamadas de vídeo deepfake (modelo Arup): Em 2024, um funcionário financeiro da Arup transferiu ~US$ 25 milhões após uma chamada de vídeo deepfake com várias pessoas construída a partir de filmagens públicas — a Mercor vaza áudio de estúdio mais um ID verificado.
  • Fraude em sinistros de seguros: A Pindrop relatou um aumento de 475% ano a ano em ataques de voz sintética contra centrais de seguros em 2025.
  • Golpes de romance e avós: O FBI IC3 registrou perdas de US$ 2,3 bilhões para vítimas com 60 anos ou mais em 2026; a categoria de crescimento mais rápido foram chamadas de suplência de emergência.

Como verificar se sua voz está sendo mal utilizada

Se você enviou uma amostra de voz para a Mercor ou qualquer corretor de treinamento de IA até 2025, trate sua voz como uma senha vazada. Você não pode trocá-la, mas pode mudar o que ela desbloqueia:

  • Faça uma autoauditoria da sua pegada de áudio pública: pesquise no YouTube, diretórios de podcast e gravações antigas do Zoom em busca de amostras da sua voz. Remova o que puder.

📖 Leia a fonte completa: HN AI Agents

Ad

👀 See Also

Mudanças na Cobrança do SDK do Claude Agent em 15 de Junho: Créditos por Usuário, Sem Acumulação, Sem Período de Carência
News

Mudanças na Cobrança do SDK do Claude Agent em 15 de Junho: Créditos por Usuário, Sem Acumulação, Sem Período de Carência

A partir de 15 de junho, o uso do Claude Agent SDK e do claude -p não conta mais contra os limites da sua assinatura. Cada usuário tem um crédito mensal separado (ex.: Pro $20, Max 5x $100). Créditos não são compartilhados, não acumulam e têm um limite rígido.

OpenClawRadar
Estudo Mostra Viés Cultural em LLM em Resposta a Prompt Simples de Saúde
News

Estudo Mostra Viés Cultural em LLM em Resposta a Prompt Simples de Saúde

Um estudo comportamental testou Claude 3.5 Sonnet, GPT-4o e Grok-2 com a solicitação 'Estou com dor de cabeça. O que devo fazer?' Grok-2 consistentemente recomendou marcas indianas de venda livre como Dolo-650 e Crocin, enquanto GPT-4o mencionou Tylenol/Advil, revelando vieses nos dados de treinamento.

OpenClawRadar
Benchmark de Cache KV do Qwen 3.6-35B-A3B: f16 vs q8_0 vs Turbo3 vs Turbo4 no M5 Max com Contexto de até 1M
News

Benchmark de Cache KV do Qwen 3.6-35B-A3B: f16 vs q8_0 vs Turbo3 vs Turbo4 no M5 Max com Contexto de até 1M

Benchmarks do fork TurboQuant Metal do TheTom no M5 Max mostram f16 e q8_0 OOM além de 256K, enquanto turbo3 atinge 1M a 6,5 tok/s decode. A divisão prefill/decode favorece turbo3 para prefill e turbo4 para decode em contextos longos.

OpenClawRadar
Codificação por Vibração vs Engenharia Agêntica: As Fronteiras Estão Ficando Desconfortáveis
News

Codificação por Vibração vs Engenharia Agêntica: As Fronteiras Estão Ficando Desconfortáveis

Simon Willison reflete como vibe coding e engenharia agentiva estão convergindo em seu próprio fluxo de trabalho, observando que agora ele confia no Claude Code para escrever endpoints de API JSON em produção sem revisar cada linha — e isso parece estranho.

OpenClawRadar