Firma weryfikująca tożsamość używana przez X, TikTok i Uber Prawa jazdy użytkowników Exposed

Z raportu 404 Media wynika, że ​​wpływowa firma zajmująca się weryfikacją tożsamości, która podpisała kontrakt z TikTok, Uber, X i innymi dużymi platformami, przez ponad rok udostępniała w Internecie zestaw administracyjnych danych logowania. Dane uwierzytelniające mogły umożliwić złej osobie dostęp do poufnych informacji użytkownika, w tym zdjęć amerykańskich praw jazdy, pisze outlet.

Wspomniana firma AU10TIX świadczy usługi logowania i weryfikacji tożsamości. Pisaliśmy o tym już w zeszłym roku, w związku z nawiązaniem współpracy z firmą X (dawniej Twitter) . W tym czasie Elon Musk wprowadzał szereg nowych, kontrowersyjnych funkcji, w tym opcjonalną weryfikację użytkownika dla kont abonenckich Blue.

Aby zweryfikować użytkowników w witrynach takich jak X, AU10TIX prosi o podanie szeregu punktów danych identyfikacyjnych, w tym selfie i zdjęć dokumentów tożsamości wydanych przez rząd. Te punkty danych pomagają firmie potwierdzić, że użytkownik jest prawdziwą osobą, a nie botem, ale w takiej sytuacji mogą stanowić zagrożenie dla prywatności.

404 Media pisze, że porażka zaczęła się od przechwycenia danych logowania pracownika AU10TIX przez złośliwe oprogramowanie w 2022 r. i przesłania ich później na kanał Telegramu. Placówka została początkowo zaalarmowana o sytuacji przez badacza cyberbezpieczeństwa. Imię i nazwisko powiązane ze skradzionymi danymi uwierzytelniającymi odpowiada nazwisku osoby na LinkedIn, która jest wymieniona jako menedżer centrum operacji sieciowych w AU10TIX, pisze 404. Dane uwierzytelniające umożliwiły wejście na platformę logowania, na której widoczne były dane dotyczące użytkowników niektórych platform klienckich. Badacz cyberbezpieczeństwa udostępnił zrzuty ekranu danych, do których można uzyskać dostęp za pomocą danych uwierzytelniających, a 404 dzieli je w następujący sposób:

Dostępne informacje obejmują imię i nazwisko osoby, datę urodzenia, narodowość, numer identyfikacyjny i rodzaj przesłanego dokumentu, np. prawo jazdy. Kolejny link zawiera wówczas obraz samego dokumentu tożsamości; niektóre z nich to amerykańskie prawa jazdy.

Gizmodo skontaktował się z firmą AU10TIX w celu uzyskania komentarza i zaktualizuje tę historię, jeśli otrzyma odpowiedź. Kiedy 404 Media poprosiło o komentarz, firma powiedziała, że ​​„incydent, który cytowałeś, miał miejsce ponad 18 miesięcy temu. Dokładne dochodzenie wykazało, że dostęp do danych uwierzytelniających pracowników uzyskano wówczas nielegalnie i natychmiast je unieważniono”. Jednak 404 Media twierdzi, że według badacza bezpieczeństwa dane uwierzytelniające nadal działały od tego miesiąca. W konfrontacji z tymi informacjami AU10TIX oświadczyło, że „wycofuje odpowiedni system” powiązany z danymi uwierzytelniającymi.

Na temat potencjalnego dostępu do danych użytkownika firma stwierdziła: „Chociaż dane umożliwiające identyfikację użytkownika były potencjalnie dostępne, na podstawie naszych bieżących ustaleń nie widzimy dowodów na to, że takie dane zostały wykorzystane. Bezpieczeństwo naszych klientów jest dla nas najważniejsze, o czym zostaliśmy powiadomieni.”

Według strony internetowej AU10TIX nawiązało ono współpracę z wieloma innymi dużymi, znaczącymi platformami i markami, w tym między innymi z PayPal, LinkedIn, Coinbase, eToro i UpWork.