Vazamento da Mercor: 4 TB de amostras de voz + IDs roubados – O que os atacantes podem fazer agora

Em 4 de abril de 2026, o grupo de extorsão Lapsus$ publicou a Mercor em seu site de vazamentos. O dump tem aproximadamente quatro terabytes, reunindo biometria de voz combinada com documentos de identidade emitidos pelo governo de mais de 40.000 contratados que rotularam dados, gravaram passagens de leitura e realizaram chamadas de verificação para treinamento de IA.

Por que esta violação é diferente

A maioria dos vazamentos de voz se enquadra em duas categorias: gravações de call centers sem mapeamento de identidade fácil ou vazamentos de documentos de identificação sem áudio. A Mercor fundiu ambos. O pipeline de integração de contratados pedia uma digitalização de passaporte ou carteira de motorista, uma selfie de webcam e, em seguida, uma gravação de voz sentada lendo scripts pré-definidos. Essa sequência é exatamente o que um serviço de clonagem de voz sintética precisa como entrada. A clonagem de voz de alta qualidade agora requer cerca de 15 segundos de áudio de referência limpo — as gravações da Mercor têm em média 2 a 5 minutos de fala de qualidade de estúdio por contratado, combinadas com um ID verificado.

O que os invasores podem fazer

Esses modelos de ameaça já estão documentados na natureza:

• Burla de verificação bancária: Vários bancos dos EUA e do Reino Unido usam a impressão de voz como um dos dois fatores. Um clone lendo uma frase de desafio passa pelo portal de áudio, deixando apenas uma pergunta de conhecimento do mesmo conjunto de dados vazados.
• Vishing para o empregador da vítima: Ligar para RH ou finanças fingindo ser o funcionário para redirecionar a folha de pagamento, solicitar uma transferência ou desbloquear uma estação de trabalho. Krebs on Security lista mais de duas dúzias de casos confirmados desde 2023.
• Chamadas de vídeo deepfake (modelo Arup): Em 2024, um funcionário financeiro da Arup transferiu ~US$ 25 milhões após uma chamada de vídeo deepfake com várias pessoas construída a partir de filmagens públicas — a Mercor vaza áudio de estúdio mais um ID verificado.
• Fraude em sinistros de seguros: A Pindrop relatou um aumento de 475% ano a ano em ataques de voz sintética contra centrais de seguros em 2025.
• Golpes de romance e avós: O FBI IC3 registrou perdas de US$ 2,3 bilhões para vítimas com 60 anos ou mais em 2026; a categoria de crescimento mais rápido foram chamadas de suplência de emergência.

Como verificar se sua voz está sendo mal utilizada

Se você enviou uma amostra de voz para a Mercor ou qualquer corretor de treinamento de IA até 2025, trate sua voz como uma senha vazada. Você não pode trocá-la, mas pode mudar o que ela desbloqueia:

• Faça uma autoauditoria da sua pegada de áudio pública: pesquise no YouTube, diretórios de podcast e gravações antigas do Zoom em busca de amostras da sua voz. Remova o que puder.