Een bedrijf dat voor onder andere Tik Tok, Uber en X gebruikers verifieert heeft identiteitsdocumenten gelekt die gebruikers hadden geüpload. Naast identiteitsverificatie biedt AU10TIX ook leeftijdsverificatie. Inloggegevens voor een logginplatform van het bedrijf stonden meer dan een jaar online. Via de inloggegevens kon er toegang worden verkregen tot het platform, waar informatie was te vinden over mensen die hun paspoort, rijbewijs of identiteitsbewijs hadden geüpload.

Het ging om naam, geboortedatum, nationaliteit, identificatienummer en het soort identiteitsdocument dat was geüpload, alsmede een afbeelding van het document. Daarnaast bevatte de data ook het resultaat van het verificatieproces. De inloggegevens zijn vermoedelijk eind 2022 door infostealer-malware gestolen en vorig jaar maart op een Telegram-kanaal geplaatst. Een beveiligingsonderzoeker ontdekte de inloggegevens en tipte 404 Media.

AU10TIX laat in een eerste reactie weten dat het incident in kwestie zich anderhalf jaar geleden voordeed en dat de gestolen inloggegevens snel zijn ingetrokken. De onderzoeker stelde daarop dat de inloggegevens voor het platform vorige maand nog werkten. Daarop reageerde AU10TIX weer dat het systeem in kwestie wordt uitgefaseerd. Het verificatiebedrijf erkent dat persoonlijke gegevens toegankelijk waren, maar er geen aanwijzingen zijn dat er gegevens zijn gestolen.

"Hoe waakzaam je ook bent, je hebt geen controle over wat andere bedrijven met je data doen. Als leeftijdsverificatie wetgeving wordt, moet je mazzel hebben elke keer dat je gedwongen wordt je privé-informatie te delen. Hackers hoeven maar één keer mazzel te hebben", aldus de Amerikaanse burgerrechtenbeweging EFF.