Ein namhaftes Unternehmen für Identitätsüberprüfung, das Verträge mit TikTok, Uber, X und anderen großen Plattformen abgeschlossen hat, ließ laut einer Studie einen Satz administrativer Anmeldedaten über ein Jahr lang im Internet zugänglich. Bericht von 404 Media. Die Anmeldeinformationen hätten einem böswilligen Akteur den Zugriff auf sensible Benutzerinformationen ermöglichen können, darunter Bilder von US-Führerscheinen, schreibt das Magazin .
Das betroffene Unternehmen, AU10TIX, bietet Anmelde- und ID-Verifizierungsdienste an. Wir haben letztes Jahr darüber geschrieben, als es war Partner mit X (ehemals Twitter). Zu dieser Zeit führte Elon Musk eine Reihe neuer, umstrittener Funktionen ein, darunter eine optionale Benutzerverifizierung für Blue-Abonnentenkonten.
Um Benutzer auf Websites wie X zu verifizieren, verlangt AU10TIX eine Reihe von identifizierenden Datenpunkten, darunter Selfies und Bilder von behördlich ausgestellten Ausweisen. Mithilfe dieser Datenpunkte kann ein Unternehmen bestätigen, dass es sich bei einem Benutzer um eine echte Person und nicht um einen Bot handelt. In einer solchen Situation können sie jedoch zu einem Datenschutzrisiko werden.
404 Media schreibt, dass das Debakel begann dadurch begann, dass die Anmeldedaten eines AU10TIX-Mitarbeiters 2022 von Malware abgegriffen und später auf einem Telegram-Kanal gepostet wurden. Das Portal wurde zunächst von einem Cybersicherheitsforscher auf die Situation aufmerksam gemacht. Der mit den gestohlenen Anmeldedaten verknüpfte Name stimmte mit dem Namen einer auf LinkedIn auf der Liste gelisteten Person überein. ted als Network Operations Center Manager bei AU10TIX, schreibt 404. Die Anmeldeinformationen ermöglichten den Zugriff auf eine Protokollierungsplattform, auf der Daten zu den Benutzern einiger Client-Plattformen sichtbar zu sein schienen. Der Cybersicherheitsforscher stellte Screenshots der Daten bereit, auf die mit den Anmeldeinformationen abgerufen werden konnten, und 404 gliedert sie wie folgend auf:
Zu den zugänglichen Informationen gehören Name, Geburtsdatum, Staatsangehörigkeit, Identifikationsnummer und Art des hochgeladenen Dokuments (z. B. Führerschein). Ein nachfolgender Link enthält dann ein Bild des Ausweisdokuments selbst; bei einigen handelt es sich um amerikanische Führerscheine.
Gizmodo hat AU10TIX um einen Kommentar gebeten und wird diese Geschichte aktualisieren, falls eine Antwort erfolgt. Als 404 Media das Unternehmen um einen Kommentar bat, teilte der Verkaufsstelle mit, „der von Ihnen genannte Vorfall ereignete sich vor über 18 Monaten. Eine gründliche Untersuchung ergab , dass damals unrechtmäßig auf Mitarbeiterzugangsdaten zugegriffen wurde und diese umgehend aufgehoben wurden.“ 404 Media behauptet jedoch, laut dem Sicherheitsforscher funktionierten die Zugangsdaten diesen Monat immer noch. Als AU10TIX mit dieser Information konfrontiert wurde, sagte das Unternehmen das entsprechende System , das mit den Zugangsdaten verknüpft ist, „außer Betrieb setzt“.
Zum Thema, dass möglicherweise auf Benutzerdaten zugegriffen wurde, erklärte das Unternehmen: „Obwohl möglicherweise auf PII-Daten zugegriffen werden konnte, sehen wir nach unseren derzeitigen Erkenntnissen keine Hinweise darauf, dass diese Daten missbraucht wurden. Die Sicherheit unserer Kunden hat für uns höchste Priorität und sie wurden darüber informiert.“
Laut AU10TIX’s Website, es ist Partnerschaften mit vielen anderen großen, namhaften Plattformen und Marken eingegangen, darunter PayPal, LinkedIn, Coinbase, eToro und UpWork um ein andere.
