Uma importante empresa de verificação de identidade que assinou contratos com TikTok, Uber, X e outras grandes plataformas deixou um conjunto de credenciais de login administrativo expostas na Internet por mais de um ano, de acordo com um relatório da 404 mídia. As credenciais poderiam ter permitido que um malfeitor acessasse informações confidenciais do usuário, incluindo imagens de carteiras de motorista de americanos, escreve o meio de comunicação.
A empresa em questão, AU10TIX, fornece serviços de login e verificação de identidade. Escrevemos sobre isso no ano passado, pois estava em parceria com X (antigo Twitter). Na época, Elon Musk estava lançando uma série de recursos novos e controversos, incluindo verificação opcional de usuário para contas de assinantes Blue.
Para verificar usuários em sites como o X, o AU10TIX solicita vários pontos de dados de identificação, incluindo selfies e fotos de documentos de identidade emitidos pelo governo. Esses dados ajudam uma empresa a confirmar que um usuário é uma pessoa real e não um bot, mas podem se tornar uma responsabilidade de privacidade em uma situação como essa.
A 404 Media escreve que o desastre começou porque as credenciais de login de um funcionário do AU10TIX foram coletadas por malware em 2022 e posteriormente postadas em um canal do Telegram. O veículo foi inicialmente alertado sobre a situação por um pesquisador de segurança cibernética. O nome associado às credenciais roubadas correspondia ao nome de uma pessoa no LinkedIn listada como gerente do centro de operações de rede na AU10TIX, escreve 404. As credenciais permitiam a entrada numa plataforma de registo, onde pareciam visíveis dados relativos aos utilizadores de algumas plataformas clientes. O pesquisador de segurança cibernética forneceu capturas de tela dos dados que poderiam ser acessados usando as credenciais, e 404 os divide assim:
As informações acessíveis incluem o nome da pessoa, data de nascimento, nacionalidade, número de identificação e o tipo de documento carregado, como carteira de motorista. Um link subsequente inclui então uma imagem do próprio documento de identidade; algumas delas são carteiras de motorista americanas.
O Gizmodo entrou em contato com o AU10TIX para comentar e atualizará esta história se responder. Quando contatada pela 404 Media para comentar, a empresa disse ao meio de comunicação que “o incidente que você citou aconteceu há mais de 18 meses. Uma investigação completa determinou que as credenciais dos funcionários foram acessadas ilegalmente e foram imediatamente rescindidas.” No entanto, a 404 Media afirma que, segundo o pesquisador de segurança, as credenciais ainda funcionavam neste mês. Ao ser confrontado com essa informação, o AU10TIX disse que estava “desativando o sistema relevante” vinculado às credenciais.
Sobre o tema dos dados do usuário potencialmente acessados, a empresa disse: “Embora os dados PII estivessem potencialmente acessíveis, com base em nossas descobertas atuais, não vemos nenhuma evidência de que tais dados tenham sido explorados. A segurança dos nossos clientes é de extrema importância e eles foram notificados.”
De acordo com Site do AU10TIXfez parceria com muitas outras plataformas e marcas grandes e proeminentes, incluindo PayPal, LinkedIn, Coinbase, eToro e UpWork, entre outras.
