Die Erpressungsgruppe Lapsus$ veröffentlichte am 4. April 2026 eine vier Terabyte große Datei mit biometrischen Daten von über 40.000 Mitarbeitern von Mercor, einer Plattform, die Auftragnehmer für das Training von KI-Modellen rekrutiert. Der Leak umfasst Sprachaufnahmen, Dokumentenscans und Verifizierungs-Selfies, was innerhalb von zehn Tagen fünf Sammelklagen ausgelöst hat, da nicht vor der Verwendung von Stimmabdrücken als dauerhaftem biometrischem Identifikator gewarnt wurde.
Stimmklonung mit fünfzehn Sekunden Probe 🎙️
Das technische Risiko liegt darin, dass hochwertige Stimmklonung nur fünfzehn Sekunden sauberes Audio benötigt, um eine stimmliche Identität zu replizieren. Die Mercor-Aufnahmen, die zwischen zwei und fünf Minuten unter optimalen Bedingungen dauern, liefern ausreichend Material, um synthetische Stimmmodelle zu erzeugen. Dies macht jede Datei zu einem Vektor für Identitätsdiebstahl, ohne dass die Betroffenen ihren Stimmabdruck widerrufen können. Stimmbiometrie enthält im Gegensatz zu Passwörtern oder physischen Token keine Mechanismen zur Änderung, was den potenziellen Schaden durch Erpressung oder automatisierte Telefonbetrügereien verstärkt.
Deine Stimme gehört nicht mehr dir, sie ist eine Trainingsdatei 🤖
Das Kurioseste an dem Fall ist, dass die Betroffenen daran arbeiteten, KI-Modelle zu trainieren, und nun selbst als unfreiwilliger Datensatz für eine andere Art von künstlicher Intelligenz dienen. Mercor bat sie, deutlich zu sprechen, um Algorithmen zu verbessern, vergaß aber zu erwähnen, dass ihre Stimme nie wieder privat sein würde. Mit fünfzehn Sekunden Aufnahme kann jedes Open-Source-Skript einen Auftragnehmer imitieren, der einen Kredit beantragt. Wenn ihnen wenigstens das Gesicht mit den Selfies gestohlen wird, können sie eine Sonnenbrille tragen; für die Stimme bleibt nur das Schweigen.