Il gruppo di estorsione Lapsus$ ha pubblicato il 4 aprile 2026 un file di quattro terabyte con dati biometrici di oltre 40.000 collaboratori di Mercor, una piattaforma che recluta appaltatori per addestrare modelli di intelligenza artificiale. La fuga di dati include registrazioni vocali, scansioni di documenti e selfie di verifica, scatenando cinque azioni legali collettive in dieci giorni per la mancanza di avvisi sull'uso delle impronte vocali come identificatore biometrico permanente.
Clonazione vocale con quindici secondi di campione 🎙️
Il rischio tecnico risiede nel fatto che la clonazione vocale di alta qualità necessita solo di quindici secondi di audio pulito per replicare un'identità vocale. Le registrazioni di Mercor, che durano tra due e cinque minuti in condizioni ottimali, forniscono materiale sufficiente per generare modelli di voce sintetica. Ciò trasforma ogni file in un vettore di sostituzione d'identità, senza che gli interessati possano revocare la propria impronta vocale. La biometria vocale manca di meccanismi di modifica, a differenza di password o token fisici, amplificando il potenziale danno in caso di estorsioni o frodi telefoniche automatizzate.
La tua voce non è più tua, è un file di addestramento 🤖
La cosa più curiosa del caso è che gli interessati lavoravano per addestrare modelli di IA, e ora sono loro stessi a fungere da dataset involontario per un altro tipo di intelligenza artificiale. Mercor ha chiesto loro di parlare chiaramente per migliorare gli algoritmi, ma ha dimenticato di menzionare che la loro voce non sarebbe più stata privata. Con quindici secondi di registrazione, qualsiasi script open source può imitare un appaltatore che chiede un prestito. Almeno, se gli rubano il volto con i selfie, possono usare occhiali da sole; per la voce, rimane solo il silenzio.