Утечка данных Mercor: украдено 4 ТБ голосовых образцов и удостоверений личности – что могут сделать злоумышленники

4 апреля 2026 года группа вымогателей Lapsus$ опубликовала данные Mercor на своем сайте утечек. Объем утечки — примерно четыре терабайта, включающие голосовые биометрические данные, привязанные к государственным удостоверениям личности более чем 40 000 подрядчиков, которые размечали данные, записывали чтение отрывков и проводили верификационные звонки для обучения ИИ.

Почему эта утечка отличается

Большинство утечек голосовых данных делятся на две категории: записи колл-центров без легкой привязки к личности или утечки документов без аудио. Mercor объединил и то, и другое. Процесс онбординга подрядчиков требовал скан паспорта или водительских прав, селфи с веб-камеры, а затем запись голоса во время чтения подготовленных текстов. Эта последовательность — именно то, что нужно сервисам синтеза голоса. Качественное клонирование голоса сейчас требует около 15 секунд чистой эталонной записи — записи Mercor в среднем содержат 2–5 минут студийно чистой речи на каждого подрядчика, привязанной к подтвержденному удостоверению личности.

Что могут сделать злоумышленники

Эти угрозы уже задокументированы в реальных атаках:

• Обход банковской верификации: Несколько банков США и Великобритании используют голосовой отпечаток как один из двух факторов. Клон голоса, читающий контрольную фразу, проходит аудио-проверку, оставляя только знаниевый вопрос, ответ на который также может быть в утекших данных.
• Вишинг на работодателя жертвы: Звонок в HR или финансовый отдел от имени сотрудника с просьбой перенаправить зарплату, перевести деньги или разблокировать рабочую станцию. Сайт Krebs on Security перечисляет более двух десятков подтвержденных случаев с 2023 года.
• Дипфейк-видеозвонки (сценарий Arup): В 2024 году финансовый сотрудник Arup перевел ~25 млн долларов после участия в групповом дипфейк-видеозвонке, созданном из публичных записей — утечка Mercor дает студийное аудио плюс подтвержденное удостоверение личности.
• Мошенничество со страховыми выплатами: Pindrop сообщил о росте синтетических голосовых атак на страховые колл-центры на 475% год к году в 2025 году.
• Мошенничество с романтическими и «дедушкиными» схемами: ФБР IC3 зафиксировало убытки в размере 2,3 млрд долларов для жертв старше 60 лет в 2026 году; самой быстрорастущей категорией стали звонки с имитацией чрезвычайной ситуации от имени родственников.

Как проверить, не используется ли ваш голос во вред

Если вы загружали образец голоса в Mercor или любой другой брокер данных для обучения ИИ в 2025 году, относитесь к своему голосу как к утекшему паролю. Вы не можете его сменить, но можете изменить то, что он открывает:

• Проверьте свой публичный аудио-след: поищите на YouTube, в подкастах и старых записях Zoom образцы вашего голоса. Удалите то, что возможно.