TikTok, Uber, X ve diğer büyük platformlarla anlaşma yapan önde gelen bir kimlik doğrulama firması, bir dizi yönetici oturum açma kimliğini bir yıldan uzun süre internette açık bıraktı. rapor 404 Media’dan. Çıkış, kimlik bilgilerinin kötü bir aktörün Amerikalıların sürücü ehliyetlerinin resimleri de dahil olmak üzere hassas kullanıcı bilgilerine erişmesine izin vermiş olabileceğini yazıyor.
Söz konusu şirket, AU10TIX, giriş yapma ve kimlik doğrulama hizmetleri sağlıyor. Geçen yıl bu konuyu yazmıştık. X (eski adıyla Twitter) ile ortaklık kuruyordu. O zamanlar Elon Musk, Blue abone hesapları için isteğe bağlı kullanıcı doğrulaması da dahil olmak üzere bir dizi yeni, tartışmalı özelliği kullanıma sunuyordu.
AU10TIX, X gibi sitelerdeki kullanıcıları doğrulamak için selfie’ler ve devlet tarafından verilen kimliklerin resimleri de dahil olmak üzere bir dizi tanımlayıcı veri noktası ister. Bu veri noktaları, bir şirketin, kullanıcının bir bot değil, gerçek bir kişi olduğunu doğrulamasına yardımcı olur, ancak böyle bir durumda gizlilik yükümlülüğü haline gelebilirler.
404 Media, felaketin 2022’de bir AU10TIX çalışanının oturum açma bilgilerinin kötü amaçlı yazılım tarafından toplanması ve daha sonra bir Telegram kanalına gönderilmesi nedeniyle başladığını yazıyor. Kuruluş, ilk olarak bir siber güvenlik araştırmacısı tarafından durumdan haberdar edildi. Çalınan kimlik bilgileriyle ilişkilendirilen isim, AU10TIX’te Ağ Operasyon Merkezi Yöneticisi olarak listelenen LinkedIn’deki bir kişinin adıyla eşleşti, diye yazıyor 404. Kimlik bilgileri, bazı istemci platformlarının kullanıcılarıyla ilgili verilerin görünür göründüğü bir günlük kaydı platformuna girişe izin veriyordu. Siber güvenlik araştırmacısı, kimlik bilgileri kullanılarak erişilebilen verilerin ekran görüntülerini sağladı ve 404 bunu şu şekilde açıklıyor:
Erişilebilir bilgiler arasında kişinin adı, doğum tarihi, uyruğu, kimlik numarası ve sürücü belgesi gibi yüklenen belgenin türü yer alır. Daha sonra bir sonraki bağlantı, kimlik belgesinin kendisinin bir görüntüsünü içerir; bunlardan bazıları Amerikan ehliyetleridir.
Gizmodo, yorum yapmak için AU10TIX’e ulaştı ve yanıt vermesi halinde bu hikayeyi güncelleyecek. 404 Media’nın yorumuna ulaşıldığında şirket, yayın kuruluşuna şunları söyledi: “Alıntı yaptığınız olay 18 aydan uzun bir süre önce gerçekleşti. Kapsamlı bir soruşturma, çalışanların kimlik bilgilerine yasa dışı bir şekilde erişildiğini ve derhal iptal edildiğini belirledi. Ancak 404 Media, güvenlik araştırmacısına göre kimlik bilgilerinin bu ay itibarıyla hâlâ çalıştığını iddia ediyor. AU10TIX bu bilgiyle karşılaştığında kimlik bilgileriyle bağlantılı “ilgili sistemin hizmet dışı bırakıldığını” söyledi.
Kullanıcı verilerine potansiyel olarak erişilmiş olma konusuyla ilgili olarak şirket şunları söyledi: “PII verilerine potansiyel olarak erişilebilir olsa da, mevcut bulgularımıza dayanarak, bu tür verilerin istismar edildiğine dair bir kanıt görmüyoruz. Müşterilerimizin güvenliği son derece önemlidir ve kendilerine bildirildi.”
Buna göre AU10TIX’in web sitesiPayPal, LinkedIn, Coinbase, eToro ve UpWork gibi diğer birçok büyük, önde gelen platform ve markayla ortaklık kurdu.