Mecra, altı ay önce 350 milyon dolarlık dev bir Seri C yatırımı ile yükselişe geçmişti ve bu değerleme ile AI veri eğitim startup’ı 10 milyar dolara ulaşmıştı. Ancak, 31 Mart’ta bir veri ihlaline uğradığını kabul etmesinin ardından, şirket ciddi sorunlarla yüzleşmeye başladı.
O tarihten bu yana, bir hacker grubu Mecra’nın sistemlerinden 4TB çalıntı veri elde ettiklerini iddia etti. Bu veriler arasında aday profilleri, kişisel olarak tanımlanabilir bilgiler, işveren verileri, kaynak kodu ve API anahtarları bulunuyor. Mecra, verilerin doğruluğu hakkında herhangi bir yorumda bulunmadı; sadece soruşturmalarına devam ettiklerini ve “müşterileri ve yüklenicileriyle uygun bir şekilde iletişim kurmaya devam edeceklerini” belirtti.
Mecra, veri ihlalinin açık kaynaklı LiteLLM aracının hacklenmesi sonucu meydana geldiğini açıkladı. Bu araç o kadar popüler ki, günde milyonlarca kez indiriliyor. 40 dakika boyunca, yazılım giriş bilgilerini toplayan kötü amaçlı yazılım barındırıyordu. Bu kimlik bilgileri, daha fazla yazılıma ve hesaplara erişmek için kullanıldı ve daha fazla kimlik bilgisi toplanmaya devam edildi.
Mecra’nın ne kadar veri kaybettiğine dair resmi bir açıklama olmamakla birlikte sonuçları ciddi oldu. Meta, Mecra ile olan sözleşmelerini süresiz olarak durdurdu. (Mecra bu konuda TechCrunch’a yorum yapmayı reddetti.)
Mecra, model geliştiren firmaların en büyük ticari sırlarını yönetiyor: Modellerini eğitmek için kullandıkları özel veri setleri ve süreçler. Bu durum o kadar önemli ki, Meta 14,3 milyar dolar harcayarak Mecra’nın rakibi Scale AI ile çalışmaya devam etse de, Mecra ile ilişkisini sürdürmüştü.
Mecra için iyi bir gelişme desek bile, OpenAI de Wired’a, Mecra’nın ihlaline karşı maruziyetini araştırdığını doğruladı; ancak henüz sözleşmelerini durdurmadıklarını belirtti. Ancak, TechCrunch’a gelen bilgilerin birden fazla kaynağa dayandığına göre, başka büyük model geliştiricilerin de Mecra ile ilişkilerini gözden geçirebileceği belirtiliyor. Bu durumda hangi firmaların olacağı henüz kesinleşmedi.
Bu arada, Mecra’nın beş yüklenicisi, kişisel verilerinin sızdığı iddiasıyla davalar açtı. Bu davaların ciddi bir tehdit oluşturup oluşturmayacağı veya sadece fırsatçı davranışlar olup olmayacağı ise belirsizliğini koruyor. (Mecra bu konuda yorum yapmadı.)
Bir dava, TechCrunch tarafından incelenirken LiteLLM ve Delve’yi davalı olarak gösterdi. Bu ilginç bir durum ama bağlantı şöyle: LiteLLM, güvenlik sertifikalarını almak için AI uyum startup’ı Delve’yi kullanmıştı. Delve, anonim bir ihbarcı tarafından güvenlik sertifikaları için verileri sahtelemekle suçlanıyor.
Bir güvenlik sertifikası, doğrudan hackerların saldırı başlatmasını önlemiyor; ancak şirketlerin bu tür tehditleri en aza indirmek için süreçler geliştirmesini sağlıyor.
Delve, bu iddiaları reddedip operasyonel değişiklikler uygulamaya koysa da ciddi sorunlar yaşamış, hatta Y Combinator ile olan bağlantılarını kesmiş durumda.
LiteLLM, Delve ile yollarını ayırarak güvenlik sertifikalarını yeniden almak için başka bir AI uyum startup’ı ile çalışmaya başladı. Ayrıca LiteLLM, güvenlik olayına dair kapsamlı bir rapor yayınladı.
Ancak Mecra, TechCrunch’a verdiği bilgiler doğrultusunda Delve’nin müşterisi olmadığını doğruladı. Ancak, Mecra’nın yaşadığı bu olumsuzluklar devam ederse ciddi gelir kaybı söz konusu olabilir. Şirket, bu yılın başlarında veri sızıntısından önce yıllık 1 milyar dolar gelir elde etmeye doğru bir hızla ilerliyordu. Peki, sizce diğer büyük firmalar Mecra ile ilişkilerini sürdürecek mi?
