บริษัทตรวจสอบตัวตนที่ใช้โดย X, TikTok และ Uber ใบอนุญาตขับขี่ของผู้ใช้ที่เปิดเผย

Jun 28 2024

AU10TIX สัญญาว่าจะรักษาข้อมูลผู้ใช้ให้ปลอดภัย แต่ดูเหมือนว่าบริษัทจะมีข้อผิดพลาดร้ายแรงในการรักษาความปลอดภัยของตัวเอง

บริษัทตรวจสอบตัวตนที่โดดเด่นซึ่งทำสัญญากับ TikTok, Uber, X และแพลตฟอร์มขนาดใหญ่อื่น ๆ ได้ทิ้งชุดข้อมูลรับรองการเข้าสู่ระบบของผู้ดูแลระบบไว้บนอินเทอร์เน็ตมานานกว่าหนึ่งปี ตามรายงานจาก 404 Media ข้อมูลรับรองอาจทำให้ผู้ไม่ประสงค์ดีเข้าถึงข้อมูลผู้ใช้ที่ละเอียดอ่อน รวมถึงรูปภาพใบขับขี่ของชาวอเมริกัน

แนะนำให้อ่าน

ในที่สุดเพลง Spider-Man 2 ของ Danny Elfman ก็อยู่บนไวนิลแล้ว

ตัวอย่างซีซั่น 2 ของ Hit-Monkey ยั่วยวน NYC Mayhem, Hell แท้จริง และการพบกันใหม่ของครอบครัว

รูปแบบการต่อสู้ด้านมืดของ Acolyte มีการเชื่อมโยงจักรวาลที่เก่าแก่และขยายออกไป

แนะนำให้อ่าน

ในที่สุดเพลง Spider-Man 2 ของ Danny Elfman ก็อยู่บนไวนิลแล้ว

ไว้ทุกข์ต่อการสูญเสียอัลบั้มเปิดตัวของ Addison Rae | เครื่องมีม

แบ่งปัน

คำบรรยาย

ปิด
ภาษาอังกฤษ

แบ่งปันวิดีโอนี้

เฟซบุ๊กทวิตเตอร์อีเมล์

ลิงค์เรดดิท

ไว้ทุกข์ต่อการสูญเสียอัลบั้มเปิดตัวของ Addison Rae | เครื่องมีม

บริษัทดังกล่าว AU10TIX ให้บริการเข้าสู่ระบบและยืนยันตัวตน เราเขียนเกี่ยวกับเรื่องนี้เมื่อปีที่แล้ว เนื่องจากเป็นพันธมิตรกับ X (ชื่อเดิม Twitter ) ในขณะนั้น Elon Musk กำลังเปิดตัวฟีเจอร์ใหม่ที่ก่อให้เกิดข้อขัดแย้งหลายประการ รวมถึงการยืนยันผู้ใช้เพิ่มเติมสำหรับบัญชีสมาชิก Blue

เนื้อหาที่เกี่ยวข้อง

เทรนด์ใหม่ล่าสุดของ TikTok: ข้ามชายแดนใต้ไปกับฉัน

TikTok Ban กลายเป็นกฎหมายในสัปดาห์นี้

เนื้อหาที่เกี่ยวข้อง

เทรนด์ใหม่ล่าสุดของ TikTok: ข้ามชายแดนใต้ไปกับฉัน

TikTok Ban กลายเป็นกฎหมายในสัปดาห์นี้

ในการตรวจสอบผู้ใช้บนไซต์เช่น X นั้น AU10TIX จะขอจุดข้อมูลระบุจำนวนหนึ่ง รวมถึงรูปถ่ายเซลฟี่และรูปภาพของบัตรประจำตัวที่ออกโดยหน่วยงานราชการ จุดข้อมูลเหล่านี้ช่วยให้บริษัทยืนยันว่าผู้ใช้เป็นบุคคลจริง ไม่ใช่บอท แต่อาจกลายเป็นความรับผิดต่อความเป็นส่วนตัวได้ในสถานการณ์เช่นนี้

404 Media เขียนว่าเหตุการณ์ดังกล่าวเริ่มต้นขึ้นเนื่องจากข้อมูลเข้าสู่ระบบของพนักงาน AU10TIX ถูกมัลแวร์เก็บเกี่ยวในปี 2022 และโพสต์ลงในช่อง Telegram ในภายหลัง ช่องทางดังกล่าวได้รับการแจ้งเตือนเบื้องต้นถึงสถานการณ์โดยนักวิจัยด้านความปลอดภัยทางไซเบอร์ ชื่อที่เกี่ยวข้องกับข้อมูลประจำตัวที่ถูกขโมยนั้นตรงกับชื่อของบุคคลใน LinkedIn ที่ได้รับการระบุว่าเป็นผู้จัดการศูนย์ปฏิบัติการเครือข่ายที่ AU10TIX, 404 เขียน ข้อมูลประจำตัวอนุญาตให้เข้าสู่แพลตฟอร์มการบันทึก ซึ่งข้อมูลที่เกี่ยวข้องกับผู้ใช้ของแพลตฟอร์มไคลเอนต์บางส่วนดูเหมือนจะปรากฏให้เห็น นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้จัดเตรียมภาพหน้าจอของข้อมูลที่สามารถเข้าถึงได้โดยใช้ข้อมูลประจำตัว และ 404 จะแยกย่อยดังนี้:

ข้อมูลที่สามารถเข้าถึงได้ ได้แก่ ชื่อบุคคล วันเกิด สัญชาติ หมายเลขประจำตัว และประเภทของเอกสารที่อัปโหลด เช่น ใบขับขี่ ลิงก์ต่อมาจะมีรูปภาพของเอกสารประจำตัวด้วย บางส่วนเป็นใบขับขี่ของอเมริกา

Gizmodo ติดต่อ AU10TIX เพื่อแสดงความคิดเห็นและจะอัปเดตเรื่องราวนี้หากตอบกลับ เมื่อได้รับความคิดเห็นจาก 404 Media บริษัทบอกกับทางร้านว่า “เหตุการณ์ที่คุณอ้างถึงเกิดขึ้นเมื่อ 18 เดือนที่แล้ว การสอบสวนอย่างละเอียดระบุว่ามีการเข้าถึงข้อมูลประจำตัวของพนักงานอย่างผิดกฎหมายและถูกยกเลิกทันที” อย่างไรก็ตาม 404 Media อ้างว่าตามที่นักวิจัยด้านความปลอดภัยระบุ ข้อมูลประจำตัวยังคงใช้งานได้ในเดือนนี้ เมื่อเผชิญกับข้อมูลดังกล่าว AU10TIX กล่าวว่ากำลัง "ยกเลิกการใช้งานระบบที่เกี่ยวข้อง" ที่เชื่อมโยงกับข้อมูลประจำตัว

ในหัวข้อข้อมูลผู้ใช้ที่อาจถูกเข้าถึง บริษัทกล่าวว่า: “แม้ว่าข้อมูล PII จะสามารถเข้าถึงได้ แต่จากการค้นพบในปัจจุบันของเรา เราไม่เห็นหลักฐานว่าข้อมูลดังกล่าวถูกนำไปใช้ประโยชน์ ความปลอดภัยของลูกค้ามีความสำคัญสูงสุด และพวกเขาได้รับแจ้งแล้ว”

ตามเว็บไซต์ของ AU10TIXบริษัทได้ร่วมมือกับแพลตฟอร์มและแบรนด์ขนาดใหญ่ที่โดดเด่นอื่นๆ มากมาย รวมถึง PayPal, LinkedIn, Coinbase, eToro และ UpWork และอื่นๆ อีกมากมาย