TikTok, Uber ve X (eski adıyla Twitter) gibi büyük teknoloji platformlarıyla çalışan İsrail merkezli bir kimlik doğrulama şirketi olan AU10TIX, bir yıldan fazla bir süre boyunca yanlışlıkla bir dizi idari kimlik bilgisini çevrimiçi olarak ifşa etti.
Yüz görüntüleri ve kimlik onayı için kullanılan sürücü belgeleri gibi özel kullanıcı bilgilerine yetkisiz erişime izin verebilecek bir güvenlik açığı vardı.
Açığa çıkan kimlik bilgileri, kimlik belgelerine ve “canlılık” kontrolleri gibi doğrulama süreci sonuçlarına bağlantılar içeren bir kayıt platformuna doğrudan erişim sağladı.
Ele geçirilen veriler arasında adlar, doğum tarihleri, uyruklar, kimlik numaraları ve belge görüntüleri yer alıyordu; bu bilgiler, kötü niyetli aktörler tarafından elde edilirse kimlik hırsızlığına yol açabilir.
Free Webinar on API vulnerability scanning for OWASP API Top 10 vulnerabilities -> Book Your Spot
Kanıtlar, açığa çıkan kimlik bilgilerinin Aralık 2022’de kötü amaçlı yazılım tarafından toplandığını ve 404 Media tarafından elde edilen zaman damgaları ve mesajlarda belirtildiği gibi Mart 2023’te bir Telegram kanalında paylaşıldığını gösteriyor.
AU10TIX, ifşa edilen verileri içeren sistemin hizmet dışı bırakıldığını ve veri istismarına dair herhangi bir kanıt bulunmadığını iddia etse de, kullanıcı gizliliği üzerindeki potansiyel etki endişe yaratmaya devam ediyor.
Olay, kullanıcıların doğrulama amacıyla kimlik belgelerini yüklemesini gerektiren sosyal ağların ve çevrimiçi platformların artan eğilimiyle ilişkili riskleri vurguluyor. Örneğin X, ilk kimlik bilgilerinin ortaya çıkmasından iki yıl sonra, 2024’te premium kullanıcıların devlet tarafından verilmiş kimlikleri paylaşmalarını zorunlu kılmaya başladı.
“SpiderSilk siber güvenlik firmasının baş güvenlik görevlisi ve ifşa edilen kimlik bilgilerini ilk tespit eden kişi olan Mossab Hussein, AU10TIX’in kullanıcıların kimliklerini ve gizli belgelerini korumak için temel güvenlik önlemlerini uygulamadaki başarısızlığı konusunda endişelerini dile getirdi”.
Şirket o zamandan beri etkilenen müşterileri bilgilendirdi ve güvenliğe daha fazla odaklanan yeni bir işletim sistemine geçiyor.
AU10TIX’in Upwork gibi bazı ortakları olaydan önce zaten alternatif doğrulama sağlayıcılarına geçmişti. Fiverr ve Coinbase gibi diğerleri ise herhangi bir veri ifşasından habersiz olduklarını ancak AU10TIX ile işbirliğine devam ettiklerini belirtti.
Daha fazla çevrimiçi platform kimlik ve yaş doğrulama modellerine doğru ilerledikçe, bu ihlal, hassas kullanıcı verilerini korumak için güçlü güvenlik önlemlerinin önemini vurguluyor.
Bilgisayar korsanlarının müşteri verilerini Telegram ve karanlık ağ gibi platformlarda ifşa etme eğiliminin artması, katı veri koruma uygulamalarına duyulan ihtiyacı daha da vurguluyor.
Free Webinar! 3 Security Trends to Maximize MSP Growth -> Register For Free