Empresa de verificación de identidad utilizada por X, TikTok y Uber expusieron las licencias de conducir de los usuarios

Una destacada empresa de verificación de identidad que tiene contratos con TikTok, Uber, X y otras grandes plataformas, dejó un conjunto de credenciales de inicio de sesión administrativas expuestas a Internet durante más de un año, según un informe de 404 Media. Las credenciales podrían haber permitido a un mal actor acceder a información confidencial del usuario, incluidas imágenes de licencias de conducir estadounidenses, escribe el medio.
Lectura sugerida
Lectura sugerida
- Apagado
- Inglés
La empresa en cuestión, AU10TIX, ofrece servicios de inicio de sesión y verificación de identidad. Escribimos sobre esto el año pasado, ya que se estaba asociando con X (anteriormente Twitter) . En ese momento, Elon Musk estaba implementando una serie de funciones nuevas y controvertidas, incluida la verificación de usuario opcional para las cuentas de suscriptores de Blue.
contenido relacionado
contenido relacionado
Para verificar a los usuarios en sitios como X, AU10TIX solicita una serie de puntos de datos de identificación, incluidas selfies e imágenes de identificaciones emitidas por el gobierno. Estos puntos de datos ayudan a una empresa a confirmar que un usuario es una persona real y no un robot, pero pueden convertirse en una responsabilidad de privacidad en una situación como esta.
404 Media escribe que la debacle comenzó porque las credenciales de inicio de sesión de un miembro del personal de AU10TIX fueron recopiladas por malware en 2022 y luego publicadas en un canal de Telegram. Inicialmente, un investigador de ciberseguridad alertó al medio sobre la situación. El nombre asociado con las credenciales robadas coincidía con el nombre de una persona en LinkedIn que figura como Gerente del Centro de Operaciones de Red en AU10TIX, escribe 404. Las credenciales permitían el ingreso a una plataforma de registro, donde parecían ser visibles datos relacionados con los usuarios de algunas plataformas de clientes. El investigador de ciberseguridad proporcionó capturas de pantalla de los datos a los que se podía acceder mediante las credenciales, y 404 los desglosa así:
La información accesible incluye el nombre de la persona, fecha de nacimiento, nacionalidad, número de identificación y el tipo de documento cargado, como una licencia de conducir. Un enlace posterior incluye una imagen del propio documento de identidad; algunas de ellas son licencias de conducir estadounidenses.
Gizmodo contactó a AU10TIX para hacer comentarios y actualizará esta historia si responde. Cuando 404 Media la contactó para hacer comentarios, la compañía le dijo al medio que “el incidente que usted citó ocurrió hace más de 18 meses. Una investigación exhaustiva determinó que en ese momento se accedió ilegalmente a las credenciales de los empleados y estas fueron rescindidas de inmediato”. Sin embargo, 404 Media afirma que, según el investigador de seguridad, las credenciales todavía funcionaban a partir de este mes. Cuando se enfrentó a esa información, AU10TIX dijo que estaba “desmantelando el sistema relevante” vinculado a las credenciales.
Sobre el tema del posible acceso a los datos de los usuarios, la compañía dijo: “Si bien los datos de PII eran potencialmente accesibles, según nuestros hallazgos actuales, no vemos evidencia de que dichos datos hayan sido explotados. La seguridad de nuestros clientes es de suma importancia y han sido notificados”.
Según el sitio web de AU10TIX , se ha asociado con muchas otras plataformas y marcas grandes y destacadas, incluidas PayPal, LinkedIn, Coinbase, eToro y UpWork, entre otras.