X、TikTok、Uberが利用する本人確認会社がユーザーの運転免許証を公開

404 Mediaの報道によると、TikTok、Uber、Xなどの大手プラットフォームと契約している著名な本人確認会社が、管理者のログイン認証情報を1年以上インターネット上に公開したままにしていたという。この認証情報により、悪意のある人物がアメリカ人の運転免許証の画像など、ユーザーの機密情報にアクセスできた可能性があると、同メディアは報じている。

問題の会社であるAU10TIXは、ログインおよびID認証サービスを提供しています。昨年、同社がX（旧Twitter）と提携していた 際に、私たちはこの会社について記事を書きました。当時、イーロン・マスクは、Blue加入者アカウントのオプションのユーザー認証など、物議を醸す新機能を数多く展開していました。

AU10TIX は、X のようなサイトでユーザーを認証するために、自撮り写真や政府発行の身分証明書の写真など、いくつかの識別データ ポイントを要求します。これらのデータ ポイントは、企業がユーザーがボットではなく実在の人物であることを確認するのに役立ちますが、このような状況ではプライバシーの危険になる可能性があります。

404 Media によると、この大失態は AU10TIX スタッフのログイン認証情報が 2022 年にマルウェアに盗まれ、その後 Telegram チャンネルに投稿されたことがきっかけだったという。同メディアは当初、サイバーセキュリティ研究者からこの事態を知らされた。盗まれた認証情報に関連付けられた名前は、LinkedIn に AU10TIX のネットワーク オペレーション センター マネージャーとして登録されている人物の名前と一致したと 404 は書いている。この認証情報により、ログ プラットフォームにアクセスでき、一部のクライアント プラットフォームのユーザーに関連するデータが閲覧可能になったようだ。サイバーセキュリティ研究者は、認証情報を使用してアクセスできるデータのスクリーンショットを提供し、404 は次のように分析している。

アクセス可能な情報には、個人の名前、生年月日、国籍、身分証明書番号、運転免許証などのアップロードされた文書の種類が含まれます。その後のリンクには、身分証明書自体の画像が含まれます。その中には、アメリカの運転免許証もあります。

Gizmodo は AU10TIX にコメントを求めており、返答があればこの記事を更新します。404 Media がコメントを求めたところ、同社は「あなたが言及した事件は 18 ヶ月以上前に発生しました。徹底的な調査の結果、当時従業員の認証情報が不正にアクセスされたことが判明し、すぐに取り消されました」と回答しました。しかし、404 Media は、セキュリティ研究者によると、認証情報は今月の時点でまだ機能していたと主張しています。その情報を提示された AU10TIX は、認証情報にリンクされた「関連システムを廃止する」と述べました。

ユーザーデータにアクセスされた可能性があるという点について、同社は次のように述べている。「個人情報データにアクセスされる可能性はあったものの、現時点での調査結果から判断すると、そうしたデータが悪用されたという証拠は見当たりません。当社の顧客のセキュリティは最も重要であり、顧客には通知済みです。」

AU10TIXのウェブサイトによると、同社はPayPal、LinkedIn、Coinbase、eToro、UpWorkなど、他の多くの大規模で著名なプラットフォームやブランドと提携している。