Perusahaan Verifikasi Identitas yang Digunakan oleh X, TikTok, dan Surat Izin Mengemudi Pengguna Uber

Sebuah perusahaan verifikasi identitas terkemuka yang telah menjalin kontrak dengan TikTok, Uber, X, dan platform besar lainnya, membiarkan serangkaian kredensial login administratif terekspos ke internet selama lebih dari setahun, menurut laporan dari 404 Media. Kredensial tersebut dapat memungkinkan pelaku kejahatan mengakses informasi sensitif pengguna, termasuk gambar SIM orang Amerika, tulis outlet tersebut.

Perusahaan yang dimaksud, AU10TIX, menyediakan layanan login dan verifikasi ID. Kami menulis tentangnya tahun lalu, saat ia bermitra dengan X (sebelumnya Twitter) . Saat itu, Elon Musk meluncurkan sejumlah fitur baru yang kontroversial, termasuk verifikasi pengguna opsional untuk akun pelanggan Blue.

Untuk memverifikasi pengguna di situs seperti X, AU10TIX meminta sejumlah titik data identifikasi, termasuk selfie dan gambar tanda pengenal yang dikeluarkan pemerintah. Poin data ini membantu perusahaan mengonfirmasi bahwa pengguna adalah orang sungguhan dan bukan bot, namun data tersebut dapat menjadi tanggung jawab privasi dalam situasi seperti ini.

404 Media menulis bahwa bencana tersebut dimulai karena kredensial login staf AU10TIX diambil oleh malware pada tahun 2022 dan kemudian diposting ke saluran Telegram. Outlet tersebut awalnya diberitahu tentang situasi ini oleh seorang peneliti keamanan siber. Nama yang terkait dengan kredensial yang dicuri cocok dengan nama seseorang di LinkedIn yang terdaftar sebagai Manajer Pusat Operasi Jaringan di AU10TIX, tulis 404. Kredensial tersebut memungkinkan masuk ke platform logging, di mana data yang terkait dengan pengguna beberapa platform klien tampak terlihat. Peneliti keamanan siber memberikan tangkapan layar dari data yang dapat diakses menggunakan kredensial, dan 404 menguraikannya seperti ini:

Informasi yang dapat diakses meliputi nama orang tersebut, tanggal lahir, kewarganegaraan, nomor identifikasi, dan jenis dokumen yang diunggah seperti SIM. Tautan berikutnya kemudian menyertakan gambar dokumen identitas itu sendiri; beberapa di antaranya adalah surat izin mengemudi Amerika.

Gizmodo menghubungi AU10TIX untuk memberikan komentar dan akan memperbarui cerita ini jika merespons. Ketika dihubungi untuk memberikan komentar oleh 404 Media, perusahaan tersebut mengatakan kepada outlet tersebut bahwa “insiden yang Anda kutip terjadi lebih dari 18 bulan yang lalu. Investigasi menyeluruh menentukan bahwa kredensial karyawan diakses secara ilegal dan segera dicabut.” Namun, 404 Media mengklaim bahwa, menurut peneliti keamanan, kredensial tersebut masih berfungsi hingga bulan ini. Ketika dihadapkan dengan informasi tersebut, AU10TIX mengatakan pihaknya “menonaktifkan sistem yang relevan” yang terkait dengan kredensial.

Mengenai topik data pengguna yang mungkin telah diakses, perusahaan tersebut mengatakan: “Meskipun data PII berpotensi dapat diakses, berdasarkan temuan kami saat ini, kami tidak melihat bukti bahwa data tersebut telah dieksploitasi. Keamanan pelanggan kami adalah yang paling penting, dan mereka telah diberitahu.”

Menurut situs web AU10TIX , ia telah bermitra dengan banyak platform dan merek besar dan terkemuka lainnya, antara lain termasuk PayPal, LinkedIn, Coinbase, eToro, dan UpWork.