Sebuah perusahaan verifikasi identitas terkemuka yang telah membuat kontrak dengan TikTok, Uber, X, dan platform besar lainnya, membiarkan sekumpulan kredensial login administratif terekspos ke internet selama lebih dari setahun, menurut sebuah laporan laporan dari 404 Media. Kredensial tersebut dapat memungkinkan pelaku kejahatan untuk mengakses informasi sensitif pengguna, termasuk gambar SIM warga Amerika, tulis media tersebut.
Perusahaan yang dimaksud, AU10TIX, menyediakan layanan login dan verifikasi ID. Kami menulis tentangnya tahun lalu, karena bermitra dengan X (sebelumnya Twitter). Saat itu, Elon Musk meluncurkan sejumlah fitur baru yang kontroversial, termasuk verifikasi pengguna opsional untuk akun pelanggan Blue.
Untuk memverifikasi pengguna di situs seperti X, AU10TIX meminta sejumlah titik data identifikasi, termasuk selfie dan gambar tanda pengenal yang dikeluarkan pemerintah. Poin data ini membantu perusahaan mengonfirmasi bahwa pengguna adalah orang sungguhan dan bukan bot, namun data tersebut dapat menjadi tanggung jawab privasi dalam situasi seperti ini.
404 Media menulis bahwa bencana tersebut dimulai karena kredensial login staf AU10TIX diambil oleh malware pada tahun 2022 dan kemudian diposting ke saluran Telegram. Outlet tersebut awalnya diberitahu tentang situasi tersebut oleh seorang peneliti keamanan siber. Nama yang terkait dengan kredensial yang dicuri cocok dengan nama seseorang di LinkedIn yang terdaftar sebagai Manajer Pusat Operasi Jaringan di AU10TIX, tulis 404. Kredensial tersebut memungkinkan masuk ke platform logging, di mana data yang terkait dengan pengguna beberapa platform klien tampak terlihat. Peneliti keamanan siber memberikan tangkapan layar dari data yang dapat diakses menggunakan kredensial, dan 404 menguraikannya seperti ini:
Informasi yang dapat diakses mencakup nama orang tersebut, tanggal lahir, kewarganegaraan, nomor identifikasi, dan jenis dokumen yang diunggah seperti SIM. Tautan berikutnya kemudian menyertakan gambar dokumen identitas itu sendiri; beberapa di antaranya adalah SIM Amerika.
Gizmodo menghubungi AU10TIX untuk memberikan komentar dan akan memperbarui cerita ini jika merespons. Saat dihubungi untuk memberikan komentar oleh 404 Media, perusahaan tersebut mengatakan kepada outlet tersebut bahwa “insiden yang Anda kutip terjadi lebih dari 18 bulan yang lalu. Investigasi menyeluruh menentukan bahwa kredensial karyawan diakses secara ilegal dan segera dicabut.” Namun, 404 Media mengklaim bahwa, menurut peneliti keamanan, kredensial tersebut masih berfungsi hingga bulan ini. Ketika dihadapkan dengan informasi tersebut, AU10TIX mengatakan pihaknya “menonaktifkan sistem yang relevan” yang terkait dengan kredensial.
Mengenai topik data pengguna yang mungkin telah diakses, perusahaan tersebut mengatakan: “Meskipun data PII berpotensi dapat diakses, berdasarkan temuan kami saat ini, kami tidak melihat bukti bahwa data tersebut telah dieksploitasi. Keamanan pelanggan kami adalah yang paling penting, dan mereka telah diberitahu.”
Berdasarkan Situs web AU10TIXtelah bermitra dengan banyak platform dan merek besar dan terkemuka lainnya, termasuk PayPal, LinkedIn, Coinbase, eToro, dan UpWork, antara lain.