Công ty xác minh danh tính được X, TikTok và Uber sử dụng để tiết lộ giấy phép lái xe của người dùng

Theo báo cáo từ 404 Media, một công ty xác minh danh tính nổi tiếng đã ký hợp đồng với TikTok, Uber, X và các nền tảng lớn khác, đã để lại một bộ thông tin đăng nhập quản trị trên Internet trong hơn một năm. Tờ báo viết: Thông tin xác thực có thể đã cho phép kẻ xấu truy cập thông tin nhạy cảm của người dùng, bao gồm cả hình ảnh giấy phép lái xe của người Mỹ.
cách đọc được đề nghị
cách đọc được đề nghị
- Tắt
- Tiếng Anh
Công ty được đề cập, AU10TIX, cung cấp dịch vụ xác minh thông tin đăng nhập và ID. Chúng tôi đã viết về nó vào năm ngoái khi nó hợp tác với X (trước đây là Twitter) . Vào thời điểm đó, Elon Musk đang tung ra một số tính năng mới gây tranh cãi, bao gồm cả xác minh người dùng tùy chọn cho tài khoản người đăng ký Blue.
Nội dung liên quan
Nội dung liên quan
Để xác minh người dùng trên các trang web như X, AU10TIX yêu cầu một số điểm dữ liệu nhận dạng, bao gồm ảnh tự chụp và ảnh ID do chính phủ cấp. Những điểm dữ liệu này giúp công ty xác nhận rằng người dùng là người thật chứ không phải bot, nhưng họ có thể trở thành trách nhiệm pháp lý về quyền riêng tư trong tình huống như thế này.
404 Media viết rằng sự cố bắt đầu do thông tin đăng nhập của nhân viên AU10TIX đã bị phần mềm độc hại thu thập vào năm 2022 và sau đó được đăng lên kênh Telegram. Ban đầu, cơ quan này đã được một nhà nghiên cứu an ninh mạng cảnh báo về tình hình này. Tên liên quan đến thông tin đăng nhập bị đánh cắp khớp với tên của một người trên LinkedIn, người được liệt kê là Giám đốc Trung tâm Điều hành Mạng tại AU10TIX, 404 viết. Thông tin xác thực cho phép truy cập vào nền tảng ghi nhật ký, nơi dường như hiển thị dữ liệu liên quan đến người dùng của một số nền tảng khách. Nhà nghiên cứu an ninh mạng đã cung cấp ảnh chụp màn hình dữ liệu có thể được truy cập bằng thông tin xác thực và lỗi 404 chia nhỏ dữ liệu đó như sau:
Thông tin có thể truy cập bao gồm tên, ngày sinh, quốc tịch, số nhận dạng và loại tài liệu được tải lên như giấy phép lái xe. Sau đó, liên kết tiếp theo sẽ bao gồm hình ảnh của chính tài liệu nhận dạng đó; một số trong số đó là bằng lái xe của Mỹ.
Gizmodo đã liên hệ với AU10TIX để nhận xét và sẽ cập nhật câu chuyện này nếu nó phản hồi. Khi được 404 Media đưa ra bình luận, công ty đã nói với cơ quan này rằng “sự việc mà bạn kể đã xảy ra hơn 18 tháng trước. Một cuộc điều tra kỹ lưỡng đã xác định rằng thông tin đăng nhập của nhân viên đã bị truy cập bất hợp pháp sau đó và đã bị hủy bỏ ngay lập tức.” Tuy nhiên, 404 Media tuyên bố rằng, theo nhà nghiên cứu bảo mật, thông tin đăng nhập vẫn hoạt động cho đến tháng này. Khi đối mặt với thông tin đó, AU10TIX cho biết họ đang “ngừng hoạt động hệ thống có liên quan” được liên kết với thông tin xác thực.
Về chủ đề dữ liệu người dùng có khả năng bị truy cập, công ty cho biết: “Mặc dù dữ liệu PII có khả năng truy cập được nhưng dựa trên những phát hiện hiện tại của chúng tôi, chúng tôi không thấy bằng chứng nào cho thấy dữ liệu đó đã bị khai thác. Bảo mật của khách hàng của chúng tôi là điều quan trọng nhất và họ đã được thông báo.”
Theo trang web của AU10TIX , nó đã hợp tác với nhiều nền tảng và thương hiệu lớn, nổi bật khác, bao gồm PayPal, LinkedIn, Coinbase, eToro và UpWork, cùng nhiều nền tảng khác.