Identiteitsverificatiebedrijf TikTok, Uber en X lekte kopieën van id-documenten
Een bedrijf dat voor onder andere Tik Tok, Uber en X gebruikers verifieert heeft identiteitsdocumenten gelekt die gebruikers hadden geüpload. Naast identiteitsverificatie biedt AU10TIX ook leeftijdsverificatie. Inloggegevens voor een logginplatform van het bedrijf stonden meer dan een jaar online. Via de inloggegevens kon er toegang worden verkregen tot het platform, waar informatie was te vinden over mensen die hun paspoort, rijbewijs of identiteitsbewijs hadden geüpload.
Het ging om naam, geboortedatum, nationaliteit, identificatienummer en het soort identiteitsdocument dat was geüpload, alsmede een afbeelding van het document. Daarnaast bevatte de data ook het resultaat van het verificatieproces. De inloggegevens zijn vermoedelijk eind 2022 door infostealer-malware gestolen en vorig jaar maart op een Telegram-kanaal geplaatst. Een beveiligingsonderzoeker ontdekte de inloggegevens en tipte 404 Media.
AU10TIX laat in een eerste reactie weten dat het incident in kwestie zich anderhalf jaar geleden voordeed en dat de gestolen inloggegevens snel zijn ingetrokken. De onderzoeker stelde daarop dat de inloggegevens voor het platform vorige maand nog werkten. Daarop reageerde AU10TIX weer dat het systeem in kwestie wordt uitgefaseerd. Het verificatiebedrijf erkent dat persoonlijke gegevens toegankelijk waren, maar er geen aanwijzingen zijn dat er gegevens zijn gestolen.
"Hoe waakzaam je ook bent, je hebt geen controle over wat andere bedrijven met je data doen. Als leeftijdsverificatie wetgeving wordt, moet je mazzel hebben elke keer dat je gedwongen wordt je privé-informatie te delen. Hackers hoeven maar één keer mazzel te hebben", aldus de Amerikaanse burgerrechtenbeweging EFF.
Ik zal niet de enige zijn met deze vraag...
Aanvulling 15:29: voordat de Kopie-ID-app weer als "oplossing" wordt genoemd: lees eerst https://security.nl/posting/827295.
Het is sowieso een gevecht met kopie paspoort. Ik reis zeer regelmatig in het buitenland en zo'n beetje elk hotel wil een kopie paspoort maken, wat dan weer tot de nodige discussies leidt. Of nog erger, ze maken even een kopie met een telefoon of ze vragen je een kopie te uploaden in een webportaal of zuil. Overal en iedereen wil een kopie hebben. Voor wat het waard is uiteraard, want wat zegt zo'n kopie nu echt...
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
