TikTok, Uber e X usam serviço de verificação de identidade que expôs carteiras de motorista

 (404media.co)
1 pontos por GN⁺ 2024-06-28 | 1 comentários | Compartilhar no WhatsApp

Problema de segurança na AU10TIX

  • A AU10TIX, empresa que verifica a identidade de usuários do TikTok, Uber e X, deixou credenciais administrativas expostas online por mais de um ano
  • A AU10TIX processa fotos de rosto e imagens de carteiras de motorista para verificar identidades
  • Com sede em Israel, a AU10TIX descreve em seu site que oferece uma "solução completa de verificação de identidade"
  • Oferece serviços como verificação de documentos de identidade, "detecção de vivacidade" em fluxos de vídeo em tempo real e estimativa de idade
  • Os logos de Fiverr, PayPal, Coinbase, LinkedIn e Upwork aparecem no site, e alguns confirmaram ser clientes atuais ou antigos da AU10TIX

Importância dos serviços de verificação de identidade e problemas de segurança

  • Mais redes sociais e sites pornôs estão migrando para modelos de verificação de identidade ou idade
  • Usuários precisam fazer upload de documentos reais de identidade para acessar determinados serviços
  • Este vazamento destaca que os próprios serviços de verificação de identidade podem se tornar alvo de hackers
  • Um pesquisador de cibersegurança forneceu capturas de tela e parte dos dados à 404 Media para verificação, sem distribuir os dados

Opinião do GN⁺

  • Este caso mostra as vulnerabilidades de segurança dos serviços de verificação de identidade
  • À medida que esses serviços passam a ser exigidos por cada vez mais sites, reforçar a segurança se torna essencial
  • Empresas como a AU10TIX precisam adotar medidas de segurança mais robustas para evitar incidentes
  • Outros serviços com funções semelhantes incluem Jumio e Onfido
  • Ao adotar novas tecnologias ou open source, é preciso priorizar segurança e privacidade acima de tudo

Leituras relacionadas

1 comentários

 
GN⁺ 2024-06-28
Comentários no Hacker News

  • A empresa alegou ter descoberto e corrigido o vazamento de credenciais 18 meses antes, mas as credenciais expostas continuaram funcionando até um mês atrás

    • Fico me perguntando se esse nível de gestão e sofisticação é comum entre os fornecedores desse setor
    • Acho que deveriam contratar especialistas por meio de seguro para resolver esse tipo de problema de forma adequada

  • O vazamento de dados era um resultado inevitável

    • No fim, algum advogado ético com um mínimo de conhecimento técnico vai responsabilizar essas empresas
    • Outras empresas vão ver isso e tentar evitar responsabilidade legal, mas algumas começarão a agir com mais responsabilidade

  • Tenho ficado cada vez mais grato pela solução de ID online do governo da Dinamarca (MitID)

    • Não é perfeita, mas permite verificar identidade sem expor PII
    • Acho que os EUA também precisam de uma solução padronizada e segura de ID online

  • Fiquei surpreso ao ver a lista de clientes, como eToro, Coinbase e Payoneer

    • Gostaria de saber se existe alguma forma de verificar se minhas informações foram expostas
    • Fotos de carteira de motorista podem ser consideradas informação biométrica segundo a legislação de alguns estados

  • Já usei um serviço assim depois de perder o app de MFA de um registrador de domínios

    • É possível que minha carteira de motorista tenha vazado de um bucket S3 dessa empresa
    • Depois disso, foi irritante receber e-mails pedindo para reativar o MFA

  • Acho que situações assim vão acabar levando a licenças profissionais legalmente exigidas para certos tipos de trabalho em desenvolvimento de software

    • Se for um negócio que lida com PII, então é preciso engenharia de verdade, e esses engenheiros deveriam ser certificados
    • Ter licença torna mais fácil resistir à pressão de gerentes ou da diretoria executiva
    • A licença dá aos trabalhadores qualificados mais poder para fazer o trabalho do jeito certo

  • Isso tudo parece um pesadelo orwelliano

    • Acho que serviços como TikTok e X não deveriam exigir verificação de identidade

  • Fico me perguntando por que os dados biométricos de cidadãos dos EUA estão sendo enviados para Israel

    • Também me pergunto se não existem leis contra esse tipo de informação sensível sair de data centers nos EUA

  • Alegam que dados de PII estavam potencialmente acessíveis, mas que até agora não há evidência de uso indevido desses dados

    • Um jornalista acessou os dados e confirmou a presença de PII, então fico me perguntando como essa alegação é possível
    • Acabo interpretando "não vimos evidência" como "na verdade, não procuramos direito"