Une entreprise de vérification d’identité de éminente qui a contrat avec TikTok, Uber, X et d’autres grandes plateformes a laissé un ensemble d’identifiants de connexion administratifs exposé à Internet depuis plus d’un an, selon une étude rapport de 404 Media. Les informations d’identification auraient pu permettre à un mauvais acteur d’accéder à des informations sensibles sur les utilisateurs, y compris des images de permis de conduire américains, les le point de vente écrit.
L’entreprise en question, AU10TIX, fournit des services de connexion et de vérification d’identité. Nous en avons parlé l’année dernière, car elle était en partenariat avec X (anciennement Twitter)À l’époque, Elon Musk déployait un certain nombre de nouvelles fonctionnalités controversées, notamment la vérification facultative des utilisateurs pour les comptes d’abonnés Blue.
Pour vérifier les utilisateurs sur des sites comme X, AU10TIX demande un certain nombre de données d’identification, y compris des selfies et des photos de pièces d’identité émises par le gouvernement. Ces points de données aident une entreprise à confirmer qu’un utilisateur est une vraie personne et non un robot, mais ils peuvent devenir une personne privée. responsabilité dans une situation comme celle-ci.
404 Media écrit que la débâcle a commencé parce que les identifiants de connexion d’un employé de AU10TIX ont été récoltés par un logiciel malveillant en 2022 et publiés plus tard sur un télégramme. chaîne. Le point de vente a été initialement alerté de la situation par un chercheur en cybersécurité. Le nom associé aux informations d’identification volées correspondait au nom de une personne sur LinkedIn qui est répertoriée comme responsable du centre d’opérations réseau chez AU10TIX, 404 écrit. Les identifiants permett d’entrer dans un enregistrement plateforme, où les données relatives aux utilisateurs de certaines plateformes clientes semblaient être visibles. Le chercheur en cybersécurité a est accessible à l’aide des informations d’identification et 404 le décompose comme ceci :
Les informations accessibles comprennent le nom de la personne, sa date de naissance, sa nationalité, son numéro d’identification et le type de document téléchargé, tel que le nom du conducteur. permis. Un lien suivant inclut une image du document d’identité lui-même ; certains d’entre eux sont des permis de conduire américains.
Gizmodo a contacté AU10TIX pour commenter et mettra à jour cette histoire si elle répond. Lorsqu’elle a été contactée pour commenter par 404 Media, la société a déclaré au média que « l’incident que vous avez cité s’est produit il y a plus de 18 mois. Une enquête approfondie a déterminé que les informations d’identification des employés avaient été obtenues illégalement à ce moment-là. et ont été rapidement annulés. » Cependant, 404 Media affirme que, selon le chercheur en sécurité, les informations d’identification fonctionnaient toujours ce mois-ci. Lorsqu’il a confronté à cette information, AU10TIX a déclaré qu’il sait « mettre hors service le système concerné” lié aux informations d’identification.
Au sujet des données des utilisateurs ayant potentiellement été accédées, la société a déclaré : « Bien que les Selon nos résultats, nous ne voyons aucune preuve que ces données aient été exploitées. La sécurité de nos clients est de la plus haute importance, et ils ont été notifié. »
D’après Site Internet d’AU10TIX, il a établi des partenariats avec de nombreuses autres grandes plateformes et marques de premier plan, notamment PayPal, LinkedIn, Coinbase, eToro et UpWork, entre autres.
