TikTok, Uber y X usan un servicio de verificación de identidad que expuso licencias de conducir

 (404media.co)
1 puntos por GN⁺ 2024-06-28 | 1 comentarios | Compartir por WhatsApp

Problema de seguridad de AU10TIX

  • AU10TIX, la empresa que verifica la identidad de usuarios de TikTok, Uber y X, expuso credenciales de administración en línea durante más de un año
  • AU10TIX verifica identidades procesando fotos del rostro y fotos de licencias de conducir
  • AU10TIX, con sede en Israel, describe en su sitio web que ofrece una "solución integral de verificación de identidad"
  • Ofrece servicios como verificación de documentos de identidad, "detección de vida" en transmisiones de video en tiempo real y estimación de edad
  • Los logos de Fiverr, PayPal, Coinbase, LinkedIn y Upwork aparecen en el sitio web, y algunos confirmaron ser clientes actuales o anteriores de AU10TIX

Importancia de los servicios de verificación de identidad y problemas de seguridad

  • Cada vez más redes sociales y sitios pornográficos están adoptando modelos de verificación de identidad o edad
  • Los usuarios deben subir documentos de identidad reales para acceder a ciertos servicios
  • Esta filtración destaca que los propios servicios de verificación de identidad pueden convertirse en objetivos de hackers
  • Un investigador de ciberseguridad proporcionó a 404 Media capturas de pantalla y algunos datos para verificación, sin distribuir la información

Opinión de GN⁺

  • Este incidente muestra las vulnerabilidades de seguridad de los servicios de verificación de identidad
  • A medida que más sitios web exigen servicios de verificación de identidad, reforzar la seguridad es indispensable
  • Empresas como AU10TIX deben adoptar medidas de seguridad más sólidas para prevenir incidentes de seguridad
  • Otros servicios con funciones similares incluyen Jumio y Onfido
  • Al adoptar nuevas tecnologías o software de código abierto, la seguridad y la privacidad deben considerarse la máxima prioridad

Lecturas relacionadas

1 comentarios

 
GN⁺ 2024-06-28
Opiniones en Hacker News

  • La empresa afirmó que descubrió y resolvió la filtración de credenciales hace 18 meses, pero las credenciales expuestas seguían funcionando hasta hace un mes

    • Me pregunto si este nivel de gestión y sofisticación es algo común entre los proveedores de este sector
    • Creo que deberían contratar expertos mediante su seguro para resolver este tipo de problemas como corresponde

  • La filtración de datos era una consecuencia inevitable

    • Al final, algún abogado con principios y que entienda un poco de tecnología hará que estas empresas rindan cuentas
    • Otras empresas verán esto e intentarán evitar la responsabilidad legal, pero algunas empezarán a actuar con responsabilidad

  • Cada vez agradezco más la solución de ID en línea del gobierno de Dinamarca (MitID)

    • No es perfecta, pero permite verificar la identidad sin exponer PII
    • Creo que EE. UU. también necesita una solución estandarizada y segura de ID en línea

  • Me sorprendió ver una lista de clientes como eToro, Coinbase y Payoneer

    • Me pregunto si hay alguna forma de comprobar si mi información fue expuesta
    • La foto de una licencia de conducir podría considerarse información biométrica según las leyes de algunos estados

  • Usé un servicio así después de perder la app de MFA de mi registrador de dominios

    • Es posible que mi licencia de conducir se haya expuesto desde el bucket de S3 de esa empresa
    • Después fue molesto recibir correos pidiéndome que volviera a activar MFA

  • Creo que este tipo de situaciones terminarán llevando a licencias profesionales exigidas por ley para ciertas tareas del desarrollo de software

    • Si es un negocio que maneja datos PII, entonces se necesita ingeniería de verdad, y esos ingenieros deberían estar certificados
    • Tener una licencia facilita resistir la presión de los gerentes o del C-suite
    • Tener una licencia les da a los trabajadores calificados una palanca para poder hacer bien su trabajo

  • Todo esto se siente como una pesadilla orwelliana

    • No creo que servicios como TikTok y X deban exigir verificación de identidad

  • Me pregunto por qué la información biométrica de ciudadanos estadounidenses se transfiere a Israel

    • Me pregunto si no existen leyes sobre que información sensible salga de centros de datos en EE. UU.

  • Afirman que los datos PII potencialmente eran accesibles, pero que hasta ahora no hay evidencia de que esos datos hayan sido usados indebidamente

    • Si el periodista accedió a los datos y confirmó la PII, me pregunto cómo puede sostenerse esa afirmación
    • Termino interpretando "no vimos evidencia" como "realmente no buscamos"