Истакната компанија за проверка на идентитетот која склучила договор со TikTok, Uber, X и други големи платформи, оставила сет од административни акредитиви за најава изложени на интернет повеќе од една година, стои во извештајот на 404 Media. Акредитивите можеле да дозволат пристап до чувствителни кориснички информации, вклучително и слики од возачки дозволи на Американци, пишува Gizmodo.
Компанијата за која станува збор, AU10TIX, обезбедува услуги за проверка на идентитет при најава и минатата година била во партнерство со X (поранешен Twitter). Во тоа време, Илон Маск воведувал голем број нови, контроверзни функции, вклучително и изборна корисничка проверка на сметките на претплатниците на Blue.
За да го потврди идентитетот на корисниците на сајтовите како X, AU10TIX бара бројни податоци за идентификација, вклучувајќи селфи и слики од лични карти издадени од државните органи. Овие податоци ѝ помагаат на компанијата да потврди дека корисникот е вистинска личност, а не бот, но тие можат да станат одговорност за приватност во ситуација како оваа.
404 Media пишува дека дебаклот започнал затоа што акредитивите за најава на вработен во AU10TIX биле собрани од малициозен софтвер во 2022 година и подоцна објавени на канал на Telegram. Компанијата првично била предупредена за ситуацијата од истражувач за сајбер безбедност. Името поврзано со украдените акредитиви се совпаѓало со името на лице на LinkedIn кое било наведено како менаџер на мрежен оперативен центар во AU10TIX, пишува 404 Media. Акредитивите дозволувале влез во платформа за најава, каде што се чини дека биле видливи податоци на корисници на некои од платформите на клиентите. Истражувачот за сајбер безбедност обезбедил слики од податоците до кои можело да се пристапи со помош на акредитивите, а 404 ги објаснува вака:
Извор: Freepik / kuprevich
„Достапните информации го вклучуваат името на лицето, датумот на раѓање, националноста, бројот на лична карта и видот на документот што е поставен, како на пример, возачка дозвола. Следниот линк потоа вклучува слика на самиот документ за идентификација; некои од нив се американски возачки дозволи.“
Gizmodo побара коментар од AU10TIX и ќе ја ажурира оваа приказна доколку добие одговор. Кога 404 Media побарале коментар, компанијата изјавила за медиумот дека „наведениот инцидент се случил пред повеќе од 18 месеци. Темелната истрага утврдила дека тогаш имало незаконски пристап до акредитивите на вработените и тие биле веднаш поништени“. Сепак, 404 Media тврди дека, според истражувачот за сајбер безбедност, акредитивите се повторно активни од овој месец. Кога се соочиле со овие информации, AU10TIX рекле дека го „деактивирале соодветниот систем“ поврзан со акредитивите.
На темата за потенцијален пристап до податоците на корисниците, компанијата рекла: „Иако податоците кои го откриваат идентитетот биле потенцијално достапни, врз основа на нашите сегашни наоди, не гледаме докази дека таквите податоци биле искористени. Безбедноста на нашите клиенти е од најголема важност и тие се известени“.
Според веб-страницата на AU10TIX, таа соработува со многу други големи, истакнати платформи и брендови, вклучувајќи ги PayPal, LinkedIn, Coinbase, eToro и UpWork, меѓу другите.