Wrażliwe dane użytkowników X/Twittera, Coinbase’a czy PayPal’a w sieci. Winnym podmiot, który „weryfikował” konta

4 miesięcy temu

Zweryfikuj swoje konto, aby uzyskać dostęp do tego czy tamtego – taką mniej lub bardziej natrętną sugestię można nader często zobaczyć ze strony portali społecznościowych (i nie tylko tych), z których korzysta wiele osób. Jak się okazuje, weryfikacja swojego konta miewa także konsekwencje, o których w zachętach nie było mowy. Tak jak w przypadku portali, które swoje procedury weryfikacji outsourcowały do tajemniczo brzmiącego podmiotu AU10TIX.

„How protected is your business?” – pyta firma AU10TIX na swojej stronie internetowej. Odpowiedź na to pytanie może okazać się kłopotliwa, biorąc pod uwagę okoliczności

AU10TIX, działająca w Izraelu, oferuje swoim klientom „kompleksowe rozwiązania z zakresu weryfikacji tożsamości”. I wielu z nich z tych usług skorzystało – pośród nich X vel Twitter, TikTok Uber, Coinbase, PayPal czy LinkedIn. Jak twierdzi, jej weryfikacja tożsamości konta to proces, którego „oszuści nienawidzą, a użytkownicy kochają”.

W ramach tegoż rzekomo kochanego przez użytkowników procesu firma żąda od nich dostępu do różnorakich zasobów danych. W tym zdjęć ich wizerunków, ich dokumentów (z wrażliwymi danymi!), nagrań na żywo i innych danych, które ludzie najczęściej woleliby, by pozostały prywatne. Niestety, mieliby pecha. Strzegąc bowiem dostępu do portali internetowych, firma AU10TIX nie ustrzegła bowiem własnych zasobów.

Jak się bowiem okazało, jej dane do logowania okazały się być dostępne dla co bardziej „zainteresowanych” w Internecie. Innymi słowy, aktorzy trzeci mogli do tych danych uzyskać dostęp – a wraz z nimi dostać się także do nieprzebranych zasobów wrażliwych informacji osobistych, które zgromadzono (i dalej trzymano) w toku procedur weryfikacji konta.

Sytuacja ta trwać miała na przestrzeni ostatniego roku – czyli czasu w przeciek takoż było dość.

Idź do oryginalnego materiału