Η εταιρεία επαλήθευσης ταυτότητας AU10TIX διατήρησε εκτεθειμένα ένα σύνολο διαπιστευτηρί
ω
ν διαχειριστή για περισσότερο από ένα χρόνο, επιτρέποντας πιθανώς σε παράγοντες απειλών να κλέψουν ευαίσθητα δεδομένα των πελατών της.
Η AU10TIX επαληθεύει τις ταυτότητες των χρηστών για λογαριασμό των πελατών της, οι οποίες περιλαμβάνουν, μεταξύ άλλων, τα TikTok,
X
και Uber, μέσω εικόνων selfie και σαρώσεων των αδειών οδήγησης ατόμων.
Οι ερευνητές κυβερνο
ασφάλεια
ς από το spiderSilk ήταν οι πρώτοι (μεταξύ των ερευνητών λευκών καπέλων) που βρήκαν τα διαπιστευτήρια. Ισχυρίζονται ότι οι πληροφορίες σύνδεσης παρέχουν πρόσβαση σε μια πλατφόρμα καταγραφής, όπου η πρόσβαση στα έγγραφα ταυτότητας είναι αμείωτη.
Κλεμμένα διαπιστευτήρια
«Η προσωπική μου ανάγνωση αυτής της κατάστασης είναι ότι σε έναν πάροχο υπηρεσιών επαλήθευσης ταυτότητας εμπιστεύτηκαν τις ταυτότητες ανθρώπων και απέτυχε να εφαρμόσει απλά μέτρα για την προστασία της ταυτότητας των ανθρώπων και των ευαίσθητων εγγράφων ταυτότητας», δήλωσε ο Mossab Hussein, ο επικεφαλής ασφαλείας της spiderSilk.
Δυστυχώς, φαίνεται ότι οι κακόβουλοι παίκτες κέρδισαν το spiderSilk μέχρι το τέλος, καθώς οι πληροφορίες λογαριασμού πιθανότατα παραλήφθηκαν από ένα κακόβουλο λογισμικό τον Δεκέμβριο του 2022 και κοινοποιήθηκαν μέσω Telegram τον Μάρτιο του 2023.
Εάν κάποιος είχε πρόσβαση σε αυτήν τη βάση δεδομένων (για την οποία η AU10TIX ισχυρίζεται ότι δεν έγινε κατάχρηση στη φύση), θα είχε πρόσβαση στα ονόματα των ανθρώπων, τις ημερομηνίες γέννησης, τις εθνικότητες, τους αριθμούς ταυτότητας και τις εικόνες των προσώπων τους. Αυτό είναι περισσότερο από αρκετό για την επιτυχή κλοπή ταυτότητας των επιθέσεων
phishing
. Τέτοια δεδομένα είναι επίσης αρκετά ακριβά στη μαύρη αγορά.
Η AU10TIX είπε ότι ειδοποίησε τους πελάτες που επηρεάστηκαν και ότι αντικαθιστά το τρέχον λειτουργικό σύστημα με ένα νέο, με μεγαλύτερη έμφαση στην ασφάλεια.
Υπέγραψε τον Χ ως πελάτης τον Σεπτέμβριο του 2023, όταν αναφέραμε ότι η εταιρεία είχε καθαρό φύλλο ραπ, χωρίς παραβιάσεις δημοσίων δεδομένων. Ως εκ τούτου, θεωρήθηκε ως μια καλή επιλογή για το μεγαθήριο των
social
media. Ωστόσο, είπαμε ότι θα παραμείνουμε δύσπιστοι δεδομένων των αμφιλεγόμενων αποφάσεων του Μασκ στο παρελθόν, και σίγουρα είχαμε δίκιο.
Μέσω
404 Μέσα
VIA:
TechRadar.com/
0