Empresa de verificación de identidad utilizada por X, TikTok y Uber expusieron las licencias de conducir de los usuarios

Jun 28 2024
AU10TIX prometió mantener seguros los datos de los usuarios, pero la empresa parece haber estropeado gravemente su propia seguridad.

Una destacada empresa de verificación de identidad que tiene contratos con TikTok, Uber, X y otras grandes plataformas, dejó un conjunto de credenciales de inicio de sesión administrativas expuestas a Internet durante más de un año, según un informe de 404 Media. Las credenciales podrían haber permitido a un mal actor acceder a información confidencial del usuario, incluidas imágenes de licencias de conducir estadounidenses, escribe el medio.

Lectura sugerida

La banda sonora de Spider-Man 2 de Danny Elfman finalmente está en vinilo
El tráiler de la temporada 2 de Hit-Monkey muestra el caos de Nueva York, el infierno literal y una reunión familiar
El estilo de lucha del lado oscuro del acólito tiene algunas conexiones antiguas y ampliadas con el universo

Lectura sugerida

La banda sonora de Spider-Man 2 de Danny Elfman finalmente está en vinilo
El tráiler de la temporada 2 de Hit-Monkey muestra el caos de Nueva York, el infierno literal y una reunión familiar
El estilo de lucha del lado oscuro del acólito tiene algunas conexiones antiguas y ampliadas con el universo
De luto por la pérdida del álbum debut de Addison Rae | La máquina de memes
Compartir
Subtítulos
  • Apagado
  • Inglés
Comparte este video
Facebook Twitter Correo electrónico
Enlace Reddit
De luto por la pérdida del álbum debut de Addison Rae | La máquina de memes

La empresa en cuestión, AU10TIX, ofrece servicios de inicio de sesión y verificación de identidad. Escribimos sobre esto el año pasado, ya que se estaba asociando con X (anteriormente Twitter) . En ese momento, Elon Musk estaba implementando una serie de funciones nuevas y controvertidas, incluida la verificación de usuario opcional para las cuentas de suscriptores de Blue.

contenido relacionado

La última tendencia de TikTok: cruza la frontera sur conmigo
La prohibición de TikTok tiene posibilidades reales de convertirse en ley esta semana

contenido relacionado

La última tendencia de TikTok: cruza la frontera sur conmigo
La prohibición de TikTok tiene posibilidades reales de convertirse en ley esta semana

Para verificar a los usuarios en sitios como X, AU10TIX solicita una serie de puntos de datos de identificación, incluidas selfies e imágenes de identificaciones emitidas por el gobierno. Estos puntos de datos ayudan a una empresa a confirmar que un usuario es una persona real y no un robot, pero pueden convertirse en una responsabilidad de privacidad en una situación como esta.

404 Media escribe que la debacle comenzó porque las credenciales de inicio de sesión de un miembro del personal de AU10TIX fueron recopiladas por malware en 2022 y luego publicadas en un canal de Telegram. Inicialmente, un investigador de ciberseguridad alertó al medio sobre la situación. El nombre asociado con las credenciales robadas coincidía con el nombre de una persona en LinkedIn que figura como Gerente del Centro de Operaciones de Red en AU10TIX, escribe 404. Las credenciales permitían el ingreso a una plataforma de registro, donde parecían ser visibles datos relacionados con los usuarios de algunas plataformas de clientes. El investigador de ciberseguridad proporcionó capturas de pantalla de los datos a los que se podía acceder mediante las credenciales, y 404 los desglosa así:

La información accesible incluye el nombre de la persona, fecha de nacimiento, nacionalidad, número de identificación y el tipo de documento cargado, como una licencia de conducir. Un enlace posterior incluye una imagen del propio documento de identidad; algunas de ellas son licencias de conducir estadounidenses.

Gizmodo contactó a AU10TIX para hacer comentarios y actualizará esta historia si responde. Cuando 404 Media la contactó para hacer comentarios, la compañía le dijo al medio que “el incidente que usted citó ocurrió hace más de 18 meses. Una investigación exhaustiva determinó que en ese momento se accedió ilegalmente a las credenciales de los empleados y estas fueron rescindidas de inmediato”. Sin embargo, 404 Media afirma que, según el investigador de seguridad, las credenciales todavía funcionaban a partir de este mes. Cuando se enfrentó a esa información, AU10TIX dijo que estaba “desmantelando el sistema relevante” vinculado a las credenciales.

Sobre el tema del posible acceso a los datos de los usuarios, la compañía dijo: “Si bien los datos de PII eran potencialmente accesibles, según nuestros hallazgos actuales, no vemos evidencia de que dichos datos hayan sido explotados. La seguridad de nuestros clientes es de suma importancia y han sido notificados”.

Según el sitio web de AU10TIX , se ha asociado con muchas otras plataformas y marcas grandes y destacadas, incluidas PayPal, LinkedIn, Coinbase, eToro y UpWork, entre otras.