X, TikTok 및 Uber가 노출된 사용자의 운전면허증을 사용하는 신원 확인 회사

404 Media의 보고서 에 따르면 TikTok, Uber, X 및 기타 대형 플랫폼과 계약을 맺은 유명 신원 확인 회사가 관리 로그인 자격 증명 세트를 1년 넘게 인터넷에 노출했다고 합니다 . 해당 자격 증명을 통해 악의적인 행위자가 미국인의 운전 면허증 이미지를 포함한 민감한 사용자 정보에 접근할 수 있었을 수도 있다고 이 매체는 밝혔습니다.

문제의 회사인 AU10TIX는 로그인 및 본인인증 서비스를 제공하고 있습니다. 우리는 작년에 X(이전의 Twitter)와 파트너십을 맺으면서 이에 대해 글을 썼습니다 . 당시 Elon Musk는 Blue 가입자 계정에 대한 선택적 사용자 확인을 포함하여 논란의 여지가 있는 여러 가지 새로운 기능을 출시하고 있었습니다.

X와 같은 사이트의 사용자를 확인하기 위해 AU10TIX는 셀카 및 정부 발급 신분증 사진을 포함하여 다양한 식별 데이터 포인트를 요청합니다. 이러한 데이터 포인트는 회사가 사용자가 봇이 아닌 실제 사람임을 확인하는 데 도움이 되지만, 이와 같은 상황에서는 개인 정보 보호 책임이 될 수 있습니다.

404 미디어는 AU10TIX 직원의 로그인 자격 증명이 2022년 악성 코드에 의해 수집되어 나중에 텔레그램 채널에 게시되었기 때문에 사태가 시작되었다고 기록합니다. 이 콘센트는 처음에 사이버 보안 연구원으로부터 상황에 대해 경고를 받았습니다. 도난당한 자격 증명과 관련된 이름은 AU10TIX, 404에 네트워크 운영 센터 관리자로 등록된 LinkedIn의 사람 이름과 일치했습니다. 자격 증명을 통해 일부 클라이언트 플랫폼의 사용자와 관련된 데이터가 표시되는 로깅 플랫폼에 들어갈 수 있었습니다. 사이버 보안 연구원은 자격 증명을 사용하여 액세스할 수 있는 데이터의 스크린샷을 제공했으며 404는 이를 다음과 같이 분류합니다.

접근 가능한 정보에는 이름, 생년월일, 국적, 주민등록번호, 운전면허증 등 업로드한 서류의 종류 등이 포함됩니다. 후속 링크에는 신분증 자체의 이미지가 포함됩니다. 그 중 일부는 미국 운전 면허증입니다.

Gizmodo는 AU10TIX에 연락하여 의견을 요청했으며 응답이 있으면 이 이야기를 업데이트할 것입니다. 404 미디어가 논평을 요청하자 회사는 “귀하가 언급한 사건은 18개월 전에 발생했습니다. 철저한 조사 결과 당시 직원 자격 증명이 불법적으로 액세스된 것으로 확인되었으며 즉시 폐기되었습니다.” 그러나 404 Media는 보안 연구원에 따르면 이 자격 증명은 이번 달에도 여전히 작동했다고 주장합니다. 해당 정보에 직면했을 때 AU10TIX는 자격 증명과 연결된 "관련 시스템을 폐기"하고 있다고 말했습니다.

잠재적으로 액세스된 사용자 데이터에 대해 회사는 다음과 같이 말했습니다. “PII 데이터에 잠재적으로 액세스할 수 있었지만 현재 조사 결과에 따르면 그러한 데이터가 악용되었다는 증거는 없습니다. 우리 고객의 보안은 가장 중요하며 고객에게 이를 통보했습니다.”

AU10TIX의 웹사이트 에 따르면 PayPal, LinkedIn, Coinbase, eToro, UpWork 등을 포함한 많은 유명 플랫폼 및 브랜드와 파트너십을 맺었습니다.