Vazamento da Mercor: 4 TB de amostras de voz + IDs roubados – O que os atacantes podem fazer agora

Em 4 de abril de 2026, o grupo de extorsão Lapsus$ publicou a Mercor em seu site de vazamentos. O dump tem aproximadamente quatro terabytes, reunindo biometria de voz combinada com documentos de identidade emitidos pelo governo de mais de 40.000 contratados que rotularam dados, gravaram passagens de leitura e realizaram chamadas de verificação para treinamento de IA.
Por que esta violação é diferente
A maioria dos vazamentos de voz se enquadra em duas categorias: gravações de call centers sem mapeamento de identidade fácil ou vazamentos de documentos de identificação sem áudio. A Mercor fundiu ambos. O pipeline de integração de contratados pedia uma digitalização de passaporte ou carteira de motorista, uma selfie de webcam e, em seguida, uma gravação de voz sentada lendo scripts pré-definidos. Essa sequência é exatamente o que um serviço de clonagem de voz sintética precisa como entrada. A clonagem de voz de alta qualidade agora requer cerca de 15 segundos de áudio de referência limpo — as gravações da Mercor têm em média 2 a 5 minutos de fala de qualidade de estúdio por contratado, combinadas com um ID verificado.
O que os invasores podem fazer
Esses modelos de ameaça já estão documentados na natureza:
- Burla de verificação bancária: Vários bancos dos EUA e do Reino Unido usam a impressão de voz como um dos dois fatores. Um clone lendo uma frase de desafio passa pelo portal de áudio, deixando apenas uma pergunta de conhecimento do mesmo conjunto de dados vazados.
- Vishing para o empregador da vítima: Ligar para RH ou finanças fingindo ser o funcionário para redirecionar a folha de pagamento, solicitar uma transferência ou desbloquear uma estação de trabalho. Krebs on Security lista mais de duas dúzias de casos confirmados desde 2023.
- Chamadas de vídeo deepfake (modelo Arup): Em 2024, um funcionário financeiro da Arup transferiu ~US$ 25 milhões após uma chamada de vídeo deepfake com várias pessoas construída a partir de filmagens públicas — a Mercor vaza áudio de estúdio mais um ID verificado.
- Fraude em sinistros de seguros: A Pindrop relatou um aumento de 475% ano a ano em ataques de voz sintética contra centrais de seguros em 2025.
- Golpes de romance e avós: O FBI IC3 registrou perdas de US$ 2,3 bilhões para vítimas com 60 anos ou mais em 2026; a categoria de crescimento mais rápido foram chamadas de suplência de emergência.
Como verificar se sua voz está sendo mal utilizada
Se você enviou uma amostra de voz para a Mercor ou qualquer corretor de treinamento de IA até 2025, trate sua voz como uma senha vazada. Você não pode trocá-la, mas pode mudar o que ela desbloqueia:
- Faça uma autoauditoria da sua pegada de áudio pública: pesquise no YouTube, diretórios de podcast e gravações antigas do Zoom em busca de amostras da sua voz. Remova o que puder.
📖 Leia a fonte completa: HN AI Agents
👀 See Also

Mudanças na Cobrança do SDK do Claude Agent em 15 de Junho: Créditos por Usuário, Sem Acumulação, Sem Período de Carência
A partir de 15 de junho, o uso do Claude Agent SDK e do claude -p não conta mais contra os limites da sua assinatura. Cada usuário tem um crédito mensal separado (ex.: Pro $20, Max 5x $100). Créditos não são compartilhados, não acumulam e têm um limite rígido.

GitHub Copilot atualiza política de uso de dados para treinamento de modelos
O GitHub usará dados de interação de usuários do Copilot Free, Pro e Pro+ para treinar modelos de IA a partir de 24 de abril de 2026, a menos que os usuários optem por não participar. Usuários do Copilot Business e Enterprise estão isentos dessa mudança.
FairyFuse alcança aceleração de kernel de 29,6x em CPUs através de inferência livre de multiplicação de pesos ternários
FairyFuse funde oito sub-GEMVs de valor real em um único loop AVX-512 usando adições/subtrações mascaradas, resultando em 32,4 tokens/s no Xeon 8558P e um ganho de 1,24x em relação ao llama.cpp Q4_K_M com qualidade quase sem perdas.

ONGs Ganham Acesso ao Claude Opus 4.6 nos Planos Team e Enterprise
Organizações sem fins lucrativos que utilizam os planos Team e Enterprise agora podem acessar o Claude Opus 4.6, o mais recente modelo de IA da Anthropic, sem custo adicional.