كشفت خدمة التحقق من الهوية التي يستخدمها TikTok، عن رخص القيادة
يقال إن الشركة التي تساعد TikTok وUber وX في التحقق من هوية مستخدميها من خلال معالجة صور الوجوه ورخص القيادة كشفت عن بيانات اعتماد إدارية عبر الإنترنت لأكثر من عام. 404 وسائل الإعلام التقارير. ونتيجة لذلك، كان من الممكن أن يتمكن المتسللون من الوصول إلى بيانات المستخدم الحساسة من خدمة التحقق من الهوية في أي وقت.
تأسست شركة AU10TIX في عام 2002، وهي شركة مقرها في هود هشارون بإسرائيل، وتصف نفسها بأنها “أول حل مؤسسي في العالم للتحقق من الهوية”، وتقدم مجموعة متنوعة من الخدمات، بدءًا من العمر والعنوان والتحقق البيومتري وحتى الكشف عن التزييف العميق.
ومنذ ذلك الحين، دخلت AU10TIX في شراكة مع العديد من الشركات الكبرى لتقديم خدمات التحقق الخاصة بها، مثل TikTok وX وBumble وUber وCoinbase. على سبيل المثال، في X، يتعين عليك تقديم صورة شخصية وبطاقة هوية صادرة عن الحكومة للتحقق من حسابك. يستخدم AU10TIX الصور لتأكيد هويتك ويخزن تلك البيانات لمدة تصل إلى 30 يومًا.
هذه النقطة الأخيرة مثيرة للقلق بشكل خاص، لأن 404 وسائل الإعلام تشير التقارير إلى أن بيانات اعتماد موظف AU10TIX قد تم جمعها بواسطة برامج ضارة في سبتمبر 2022 ومشاركتها على قناة Telegram في مارس 2023. وسيتم استخدام بيانات الاعتماد هذه للوصول إلى منصة التسجيل التي تحتوي على ثروة من بيانات المستخدم، بما في ذلك الأسماء وتواريخ الميلاد والجنسيات، أرقام الهوية، ونوع المستندات التي تم تحميلها. وكانت هناك أيضًا روابط لصور الوثائق نفسها، مما يعني أن المتسلل كان من الممكن أن يرى عددًا لا يحصى من رخص القيادة.
بعد أسبوع من الاتصال بـ AU10TIX بشأن الانتهاك، 404 وسائل الإعلام تلقيت الرد التالي: “الحادث الذي ذكرته وقع منذ أكثر من 18 شهرًا. توصل تحقيق شامل إلى أنه تم الوصول إلى بيانات اعتماد الموظف بشكل غير قانوني وتم إلغاؤها على الفور.
يشير AU10TIX إلى أنه لم يعد من الممكن استخدام بيانات الاعتماد للوصول إلى بيانات المستخدم بعد التحقيق. SpiderSilk كبير ضباط الأمن مصعب حسين الذي صنع لأول مرة 404 وسائل الإعلام على علم بالانتهاك، قال إن أوراق الاعتماد لا تزال تعمل حتى هذا الشهر.
عندما شاركت 404 Media هذه المعلومات، أصدرت AU10TIX بيانًا جديدًا:
على الرغم من إمكانية الوصول إلى بيانات تحديد الهوية الشخصية (PII)، استنادًا إلى النتائج الحالية التي توصلنا إليها، إلا أننا لا نرى أي دليل على استغلال هذه البيانات. إن أمن عملائنا له أهمية قصوى، وقد تم إخطارهم بذلك.
وأضافت شركة التحقق من الهوية أنها ستواصل إيقاف تشغيل النظام التشغيلي ذي الصلة واستبداله بنظام جديد وتحسين الإجراءات الأمنية.