La empresa de verificación de identidad AU10TIX mantuvo expuestas un conjunto de credenciales de administrador durante más de un año, lo que potencialmente permitió a los actores de amenazas robar datos confidenciales de sus clientes.
AU10TIX verifica las identidades de los usuarios en nombre de sus clientes, que incluyen, entre otros, TikTok, X y Uber, mediante selfies y escaneando las licencias de conducir de las personas.
Los investigadores de ciberseguridad de SpiderSilk fueron los primeros (entre los investigadores de sombrero blanco) en encontrar las credenciales. Afirman que la información de inicio de sesión otorga acceso a la plataforma de registro, donde el acceso a los documentos de identidad es implacable.
Credenciales robadas
“Mi lectura personal de esta situación es que al proveedor de servicios de verificación de identidad se le confiaron las identidades de las personas y no implementó medidas simples para proteger las identidades de las personas y los documentos de identidad confidenciales”, dijo Musaab Hussein, director de seguridad de SpiderSilk.
Desafortunadamente, SpiderSilk parece haber sido superado por jugadores maliciosos, ya que la información de la cuenta probablemente fue capturada por un malware en diciembre de 2022 y compartida a través de Telegram en marzo de 2023.
Si alguien hubiera accedido a esta base de datos (que, según AU10TIX, no ha sido objeto de abuso en la naturaleza), habría podido acceder a los nombres, fechas de nacimiento, nacionalidades, números de identificación y fotografías faciales de las personas. Esto es más que suficiente para ejecutarse correctamente. El robo de identidad De ataques de phishing. Estos datos también son caros en el mercado negro.
AU10TIX dijo que notificó a los clientes afectados y está reemplazando el servicio existente. SO Con el nuevo, con más énfasis en la seguridad.
El ella X se registró como cliente En septiembre de 2023, anunciamos que el historial de la empresa estaba limpio y no había filtraciones de datos públicos. Como tal, la empresa fue considerada una buena opción para el gigante de las redes sociales. Sin embargo, dijimos que permaneceríamos escépticos a la luz de las controvertidas decisiones de Musk en el pasado, y ciertamente teníamos razón.
a través de 404 medios