Azienda di verifica dell'identità utilizzata dalle patenti di guida degli utenti X, TikTok e Uber Exposed

Secondo un rapporto di 404 Media, un'importante società di verifica dell'identità che ha stipulato contratti con TikTok, Uber, X e altre grandi piattaforme, ha lasciato una serie di credenziali di accesso amministrative esposte su Internet per più di un anno. Le credenziali avrebbero potuto consentire a un malintenzionato di accedere a informazioni sensibili dell'utente, comprese le immagini delle patenti di guida americane, scrive il punto vendita.

La società in questione, AU10TIX, fornisce servizi di verifica dell'accesso e dell'identità. Ne abbiamo parlato l'anno scorso, poiché collaborava con X (ex Twitter) . All’epoca, Elon Musk stava lanciando una serie di nuove e controverse funzionalità, inclusa la verifica utente opzionale per gli account degli abbonati Blue.

Per verificare gli utenti su siti come X, AU10TIX richiede una serie di dati identificativi, inclusi selfie e immagini di documenti d'identità rilasciati dal governo. Questi punti dati aiutano un'azienda a confermare che un utente è una persona reale e non un bot, ma possono diventare una responsabilità per la privacy in una situazione come questa.

404 Media scrive che la debacle è iniziata perché le credenziali di accesso di un membro dello staff AU10TIX sono state raccolte da un malware nel 2022 e successivamente pubblicate su un canale Telegram. Il punto vendita è stato inizialmente allertato della situazione da un ricercatore di sicurezza informatica. Il nome associato alle credenziali rubate corrispondeva al nome di una persona su LinkedIn elencata come responsabile del centro operativo di rete presso AU10TIX, scrive 404. Le credenziali consentivano l'ingresso in una piattaforma di registrazione, dove risultavano essere visibili i dati relativi agli utenti di alcune piattaforme client. Il ricercatore di sicurezza informatica ha fornito screenshot dei dati a cui è possibile accedere utilizzando le credenziali e 404 li scompone in questo modo:

Le informazioni accessibili includono il nome della persona, la data di nascita, la nazionalità, il numero di identificazione e il tipo di documento caricato, come la patente di guida. Un collegamento successivo include poi un'immagine del documento di identità stesso; alcune di queste sono patenti di guida americane.

Gizmodo ha contattato AU10TIX per un commento e aggiornerà questa storia se risponde. Quando è stata contattata per un commento da 404 Media, la società ha dichiarato che “l’incidente che hai citato è avvenuto più di 18 mesi fa. Un’indagine approfondita ha stabilito che in quel momento è stato effettuato un accesso illegale alle credenziali dei dipendenti e sono state prontamente revocate”. Tuttavia 404 Media sostiene che, secondo il ricercatore di sicurezza, le credenziali funzionavano ancora fino a questo mese. Di fronte a tali informazioni, AU10TIX ha affermato che stava “disattivando il sistema pertinente” collegato alle credenziali.

Sul tema del potenziale accesso ai dati degli utenti, la società ha affermato: “Sebbene i dati PII fossero potenzialmente accessibili, sulla base dei nostri risultati attuali, non vediamo alcuna prova che tali dati siano stati sfruttati. La sicurezza dei nostri clienti è della massima importanza e sono stati informati."

Secondo il sito web di AU10TIX , ha collaborato con molte altre piattaforme e marchi importanti e di grandi dimensioni, tra cui PayPal, LinkedIn, Coinbase, eToro e UpWork, tra gli altri.