شركة التحقق من الهوية التي تستخدمها X وTikTok وUber تكشف عن رخص القيادة الخاصة بمستخدمي X وTikTok وUber

تركت شركة بارزة للتحقق من الهوية، تعاقدت مع TikTok وUber وX وغيرها من المنصات الكبيرة، مجموعة من بيانات اعتماد تسجيل الدخول الإدارية مكشوفة للإنترنت لأكثر من عام، وفقًا لما ذكرته صحيفة “ديلي ميل” البريطانية. تقرير من 404 وسائل الإعلام. وكتب المنفذ أنه كان من الممكن أن تسمح بيانات الاعتماد لممثل سيئ بالوصول إلى معلومات المستخدم الحساسة، بما في ذلك صور رخص القيادة الأمريكية.

توفر الشركة المعنية، AU10TIX، خدمات تسجيل الدخول والتحقق من الهوية. لقد كتبنا عنها في العام الماضي، كما هو الحال كانت شريكة مع X (تويتر سابقًا). في ذلك الوقت، كان Elon Musk يطرح عددًا من الميزات الجديدة المثيرة للجدل، بما في ذلك التحقق الاختياري من المستخدم لحسابات المشتركين في Blue.

للتحقق من المستخدمين على مواقع مثل X، تطلب AU10TIX عددًا من نقاط البيانات التعريفية، بما في ذلك الصور الشخصية وصور بطاقات الهوية الصادرة عن الحكومة. تساعد نقاط البيانات هذه الشركة على التأكد من أن المستخدم هو شخص حقيقي وليس روبوتًا، ولكنها يمكن أن تصبح مسؤولية خصوصية في مثل هذا الموقف.

كتبت 404 Media أن الكارثة بدأت لأنه تم جمع بيانات اعتماد تسجيل الدخول الخاصة بموظف AU10TIX بواسطة برامج ضارة في عام 2022 ونشرها لاحقًا على قناة Telegram. تم تنبيه المنفذ في البداية إلى الوضع من قبل باحث في الأمن السيبراني. الاسم المرتبط ببيانات الاعتماد المسروقة يطابق اسم شخص على LinkedIn تم إدراجه كمدير مركز عمليات الشبكة في AU10TIX، كما كتب 404. وسمحت بيانات الاعتماد بالدخول إلى منصة التسجيل، حيث ظهرت البيانات المتعلقة بمستخدمي بعض منصات العملاء مرئية. قدم باحث الأمن السيبراني لقطات شاشة للبيانات التي يمكن الوصول إليها باستخدام بيانات الاعتماد، ويقسمها 404 على النحو التالي:

تتضمن المعلومات التي يمكن الوصول إليها اسم الشخص وتاريخ ميلاده وجنسيته ورقم هويته ونوع الوثيقة التي تم تحميلها مثل رخصة القيادة. ثم يتضمن الرابط التالي صورة وثيقة الهوية نفسها؛ بعض هذه رخص القيادة الأمريكية.

تواصلت Gizmodo مع AU10TIX للتعليق وسوف تقوم بتحديث هذه القصة إذا استجابت. عندما اتصلت 404 Media للتعليق، أخبرت الشركة المنفذ أن “الحادث الذي ذكرته وقع منذ أكثر من 18 شهرًا. توصل تحقيق شامل إلى أنه تم الوصول إلى بيانات اعتماد الموظف بشكل غير قانوني وتم إلغاؤها على الفور. ومع ذلك، تدعي 404 Media أنه وفقًا للباحث الأمني، فإن بيانات الاعتماد لا تزال تعمل حتى هذا الشهر. وعندما واجهت AU10TIX هذه المعلومات، قالت إنها تقوم “بإيقاف تشغيل النظام ذي الصلة” المرتبط ببيانات الاعتماد.

وفيما يتعلق بموضوع إمكانية الوصول إلى بيانات المستخدم، قالت الشركة: “على الرغم من إمكانية الوصول إلى بيانات PII، بناءً على النتائج الحالية التي توصلنا إليها، فإننا لا نرى أي دليل على أنه تم استغلال هذه البيانات. إن أمن عملائنا له أهمية قصوى، وقد تم إخطارهم بذلك.

وفق موقع AU10TIXوقد دخلت في شراكة مع العديد من المنصات والعلامات التجارية الكبيرة والبارزة الأخرى، بما في ذلك PayPal وLinkedIn وCoinbase وeToro وUpWork وغيرها.