Jeśli jest jakiś rodzaj firmy, której na pewno nie chcesz narażać na ataki hakerów, to jest to usługa weryfikacji tożsamości z dostępem do dokumentów tożsamości ze zdjęciem, takich jak prawo jazdy – ale dokładnie to wydarzyło się w przypadku AU10TIX.
The bezpieczeństwo cybernetyczne dawni lub obecni klienci firmy to PayPal, Coinbase, X, TikTok, Uber, LinkedIn, Upwork i Fiverr…
Firmy weryfikujące tożsamość
Są chwile, kiedy firmy muszą pozytywnie zidentyfikować swoich użytkowników, na przykład zgodnie z przepisami dotyczącymi prania pieniędzy i umożliwienia ludziom odzyskania swoich kont. Typowym sposobem jest wymaganie od użytkowników przesłania dokumentu tożsamości ze zdjęciem, np. prawa jazdy lub paszportu.
W niektórych przypadkach firmy dodatkowo proszą o film przedstawiający użytkownika pokazującego jego twarz pod różnymi kątami, aby można było to porównać ze zdjęciem z dokumentu tożsamości i mieć pewność, że nie wpadł on w niepowołane ręce.
Wiele dużych firm decyduje się na zlecanie tego zadania firmom zewnętrznym, a firma AU10TIX z siedzibą w Izraelu jest jedną z najbardziej znanych.
AU10TIX ujawniło poświadczenia administratora
404 Mediów informuje, że AU10TIX przypadkowo ujawnił dane uwierzytelniające administratora, co umożliwiło hakerom dostęp do skarbca zawierającego dane osobowe.
[AU10TIX] Jak wynika ze zrzutów ekranu i danych uzyskanych przez 404 Media, przez ponad rok ujawniał on w Internecie zestaw danych uwierzytelniających, co potencjalnie umożliwiło hakerom dostęp do wrażliwych danych. […]
Zestaw danych uwierzytelniających zapewniał dostęp do platformy logowania, która z kolei zawierała łącza do danych dotyczących konkretnych osób, które przesłały swoje dokumenty tożsamości – pokazał Hussein. Dostępne informacje obejmują imię i nazwisko osoby, datę urodzenia, narodowość, numer identyfikacyjny i rodzaj przesłanego dokumentu, np. prawo jazdy. Kolejny link zawiera wówczas obraz samego dokumentu tożsamości; niektóre z nich to amerykańskie prawa jazdy.
Ujawnione dane uwierzytelniające wydają się należeć do menedżera sieci w firmie.
Firma 404 Media pobrała te dane uwierzytelniające i odkryła, że nazwisko pasuje do nazwiska osoby, która podaje na LinkedIn swoją rolę menedżera centrum operacji sieciowych w firmie AU10TIX. W pliku znajdowało się mnóstwo haseł i tokenów uwierzytelniających do różnych usług, z których korzysta pracownik, w tym narzędzi Salesforce i Okta, a także samej usługi logowania.
Pomimo powiadomienia o problemie firma nie zablokowała natychmiast dostępu.
404 Media po raz pierwszy skontaktowało się z AU10TIX w celu uzyskania komentarza 13 czerwca. Około tydzień później AU10TIX poinformowało, że „incydent, który cytowałeś, miał miejsce ponad 18 miesięcy temu. Dokładne dochodzenie wykazało, że dostęp do danych uwierzytelniających pracowników uzyskano wówczas nielegalnie i natychmiast je unieważniono”. Hussein powiedział, że w rzeczywistości dane uwierzytelniające do platformy logowania nadal działały od tego miesiąca. Kiedy 404 Media przekazało tę informację firmie AU10TIX, firma oświadczyła, że likwiduje odpowiedni system, ponad rok po pierwszym ujawnieniu danych uwierzytelniających w Telegramie.
Firma twierdzi, że nie uzyskano żadnych danych osobowych, ale biorąc pod uwagę, że dane uwierzytelniające zostały udostępnione w kanałach Telegramu używanych przez hakerów i działały przez ponad rok, wydaje się to wątpliwe.
Obraz: kolaż zdjęć z 9to5Mac Wikimedia/CC4.0 I Jamesa Lee NA Usuń rozpryski
FTC: Korzystamy z automatycznych linków partnerskich generujących dochód. Więcej.
