Сервис по проверке личностей, которым пользуются TikTok, Uber и X, допустил утечку данных

Издание 404 Media обнаружило, что компания, которая верифицирует личности пользователей для TikTok, Uber и X, порой обрабатывая фотографии их лиц и водительских удостоверений, допустила утечку данных. Более года в сети были доступны административные учетные данные, которые могли получить хакеры.

Израильская компания AU10TIX предлагает «комплексные решения для верификации личности». Это включает в себя проверку документов, удостоверяющих личность, обнаружение «живого присутствия» в видеопотоке в режиме реального времени, а также проверку возраста, когда сервис определяет возраст человека по загруженной фотографии.

На сайте AU10TIX размещены логотипы такие компаний, таких как Fiverr, PayPal, Coinbase, LinkedIn и Upwork, многие из которых подтвердили 404 Media, что являются активными или бывшими клиентами AU10TIX.

Журналисты отмечают, что такие сервисы становятся все более востребованными, так как многие сайты и социальные сети теперь требуют подтверждения личности или возраста, то есть пользователи должны загрузить в систему свои настоящие документы или фото, чтобы получить доступ к определенным сервисам.

Об утечке данных, произошедшей у AU10TIX, изданию сообщил специалист ИБ-компании spiderSilk Моссаб Хуссейн (Mossab Hussein). По его словам, случайно попавший в открытый доступ набор учетных данных предоставлял доступ к платформе, которая, в свою очередь, содержала ссылки на информацию, связанную с конкретными людьми, которые загрузили свои документы для проверки AU10TIX.

Учетные данные, судя по всему, были собраны неким инфостилером еще в декабре 2022 года, и впервые их опубликовали в Telegram-канале в марте 2023 года.

По данным издания, имя, фигурирующие в этих учетных данных, совпадает с именем менеджера по сетевым операциям AU10TIX, которого удалось найти в LinkedIn. Попавший в сеть файл содержал множество паролей и токенов аутентификации для различных сервисов, используемых этим человеком, включая инструменты Salesforce и Okta, а также сам сервис AU10TIX.

С помощью этих учетных данных Хуссейн обнаружил многочисленные имена людей, даты их рождения, данные о гражданстве, идентификационные номера и типы загруженных документов (например, водительских прав). А также ссылки на сами изображения документов, удостоверяющих личность.

Другие скриншоты, предоставленные экспертом, демонстрировали линейную диаграмму с одной осью, обозначенной как clientOrganizationName. На этой оси были перечислены TikTok_Shop_Creator, Impersonation_XCorp и uber-carshare-passport, то есть клиенты AU10TIX.

Хотя ни одна из этих компаний не ответила на многочисленные запросы 404 Media о комментариях, в сентябре прошлого года X сообщала, что сотрудничает с AU10TIX для проверки учетных записей, а в 2020 году сама AU10TIX распространила пресс-релиз о своем сотрудничестве с Uber.

Однако найти в сети слитые учетные данные — это одно, а проверить их работоспособность, войдя в систему и просмотрев данные компании, уже совсем другое. Обычно это влечет за собой этические и юридические проблемы. По словам Хуссейна, он пошел на этот шаг, потому что «видел потенциальные последствия от этой утечки и ущерб, который это может нанести людям, если их личные данные будут украдены». В итоге исследователь счел, что должен предупредить компанию, а затем публично рассказать об этом инциденте, «чтобы помочь повысить осведомленность о таких рисках».

Представители 404 Media связались с AU10TIX еще 13 июня 2024 года. Примерно через неделю компания ответила, что «упомянутый инцидент произошел более 18 месяцев назад, и в ходе тщательного расследования было установлено, что тогда учетные данные сотрудника были получены незаконно, после чего они были оперативно аннулированы».

Но, по словам Хуссейна, учетные данные все еще продолжали работать. Когда издание передало эту информацию специалистам AU10TIX, те заявили, что выведут соответствующую систему из эксплуатации. К этому моменту учетные данные компании были свободно доступны в сети около года.

После этого в AU10TIX сделали следующее заявление:

«Хотя данные личные данные были потенциально доступны, на основании результатов нашего расследования, мы не обнаружили никаких доказательств того, что эти данные были скомпрометированы. Безопасность наших клиентов имеет первостепенное значение, поэтому мы уведомили их [об инциденте]».

В компании добавили, что «продолжат процесс вывода из эксплуатации соответствующей системы, заменив ее на новую».

Данные о правообладателе фото и видеоматериалов взяты с сайта «Хакер», подробнее в Правилах сервиса
Анализ
×
Моссаб Хуссейн
Meta (запрещена в РФ)
Сфера деятельности:Связь и ИТ
157
Fiverr International Limited
Организации
Salesforce, Inc.
Сфера деятельности:Связь и ИТ
15