Azienda di verifica dell'identità utilizzata dalle patenti di guida degli utenti X, TikTok e Uber Exposed

Jun 28 2024
AU10TIX ha promesso di mantenere i dati degli utenti al sicuro, ma sembra che la società abbia gravemente pasticciato la propria sicurezza.

Secondo un rapporto di 404 Media, un'importante società di verifica dell'identità che ha stipulato contratti con TikTok, Uber, X e altre grandi piattaforme, ha lasciato una serie di credenziali di accesso amministrative esposte su Internet per più di un anno. Le credenziali avrebbero potuto consentire a un malintenzionato di accedere a informazioni sensibili dell'utente, comprese le immagini delle patenti di guida americane, scrive il punto vendita.

Lettura consigliata

La colonna sonora di Spider-Man 2 di Danny Elfman è finalmente su vinile
Il trailer della seconda stagione di Hit-Monkey anticipa il caos di New York, l'inferno letterale e una riunione di famiglia
Lo stile di combattimento del Lato Oscuro dell'Accolito ha alcune vecchie connessioni con l'universo espanso

Lettura consigliata

La colonna sonora di Spider-Man 2 di Danny Elfman è finalmente su vinile
Il trailer della seconda stagione di Hit-Monkey anticipa il caos di New York, l'inferno letterale e una riunione di famiglia
Lo stile di combattimento del Lato Oscuro dell'Accolito ha alcune vecchie connessioni con l'universo espanso
In lutto per la perdita dell'album di debutto di Addison Rae | La macchina dei memi
Condividere
Sottotitoli
  • Spento
  • Inglese
Condividi questo video
FacebookTwitterE - mail
Collegamento Reddit
In lutto per la perdita dell'album di debutto di Addison Rae | La macchina dei memi

La società in questione, AU10TIX, fornisce servizi di verifica dell'accesso e dell'identità. Ne abbiamo parlato l'anno scorso, poiché collaborava con X (ex Twitter) . All’epoca, Elon Musk stava lanciando una serie di nuove e controverse funzionalità, inclusa la verifica utente opzionale per gli account degli abbonati Blue.

Contenuto relativo

L'ultima tendenza di TikTok: attraversa il confine meridionale con me
Il divieto di TikTok ha una vera possibilità di diventare legge questa settimana

Contenuto relativo

L'ultima tendenza di TikTok: attraversa il confine meridionale con me
Il divieto di TikTok ha una vera possibilità di diventare legge questa settimana

Per verificare gli utenti su siti come X, AU10TIX richiede una serie di dati identificativi, inclusi selfie e immagini di documenti d'identità rilasciati dal governo. Questi punti dati aiutano un'azienda a confermare che un utente è una persona reale e non un bot, ma possono diventare una responsabilità per la privacy in una situazione come questa.

404 Media scrive che la debacle è iniziata perché le credenziali di accesso di un membro dello staff AU10TIX sono state raccolte da un malware nel 2022 e successivamente pubblicate su un canale Telegram. Il punto vendita è stato inizialmente allertato della situazione da un ricercatore di sicurezza informatica. Il nome associato alle credenziali rubate corrispondeva al nome di una persona su LinkedIn elencata come responsabile del centro operativo di rete presso AU10TIX, scrive 404. Le credenziali consentivano l'ingresso in una piattaforma di registrazione, dove risultavano essere visibili i dati relativi agli utenti di alcune piattaforme client. Il ricercatore di sicurezza informatica ha fornito screenshot dei dati a cui è possibile accedere utilizzando le credenziali e 404 li scompone in questo modo:

Le informazioni accessibili includono il nome della persona, la data di nascita, la nazionalità, il numero di identificazione e il tipo di documento caricato, come la patente di guida. Un collegamento successivo include poi un'immagine del documento di identità stesso; alcune di queste sono patenti di guida americane.

Gizmodo ha contattato AU10TIX per un commento e aggiornerà questa storia se risponde. Quando è stata contattata per un commento da 404 Media, la società ha dichiarato che “l’incidente che hai citato è avvenuto più di 18 mesi fa. Un’indagine approfondita ha stabilito che in quel momento è stato effettuato un accesso illegale alle credenziali dei dipendenti e sono state prontamente revocate”. Tuttavia 404 Media sostiene che, secondo il ricercatore di sicurezza, le credenziali funzionavano ancora fino a questo mese. Di fronte a tali informazioni, AU10TIX ha affermato che stava “disattivando il sistema pertinente” collegato alle credenziali.

Sul tema del potenziale accesso ai dati degli utenti, la società ha affermato: “Sebbene i dati PII fossero potenzialmente accessibili, sulla base dei nostri risultati attuali, non vediamo alcuna prova che tali dati siano stati sfruttati. La sicurezza dei nostri clienti è della massima importanza e sono stati informati."

Secondo il sito web di AU10TIX , ha collaborato con molte altre piattaforme e marchi importanti e di grandi dimensioni, tra cui PayPal, LinkedIn, Coinbase, eToro e UpWork, tra gli altri.