Wrażliwe dane użytkowników X/Twittera, Coinbase’a czy PayPal’a w sieci. Winnym podmiot, który „weryfikował” konta
- Firma AU10TIX oferuje outsourcing procedur weryfikacji konta. Z usług tych korzysta szereg czołowych portali i witryn.
- Jak się okazuje, działając na polu szeroko pojętego zabezpieczenia dostępu, firma miała specyficzne podejście do własnego bezpieczeństwa.
- Okazało się bowiem, że informacje umożliwiające dostęp do jej zasobów (a wraz z tym – do zatrważających ilości prywatnych danych) były dostępne w Sieci.
Zweryfikuj swoje konto, aby uzyskać dostęp do tego czy tamtego! – taką mniej lub bardziej natrętną sugestię można nader często zobaczyć ze strony portali społecznościowych (i nie tylko tych), z których korzysta wiele osób. Jak się okazuje, weryfikacja swojego konta miewa także konsekwencje, o których w zachętach nie było mowy.
Tak jak w przypadku portali, które swoje procedury weryfikacji outsourcowały do tajemniczo brzmiącego podmiotu AU10TIX.
Bezpieczeństwo Twojej firmy…
„How protected is your business?” – pyta firma AU10TIX na swojej stronie internetowej. Odpowiedź na to pytanie może okazać się kłopotliwa, biorąc pod uwagę okoliczności.
AU10TIX, działająca w Izraelu, oferuje swoim klientom „kompleksowe rozwiązania z zakresu weryfikacji tożsamości”. I wielu z nich z tych usług skorzystało – pośród nich X vel Twitter, TikTok Uber, Coinbase, PayPal czy LinkedIn.
Jak twierdzi, jej weryfikacja tożsamości konta to proces, którego „oszuści nienawidzą, a użytkownicy kochają”.
…Twoich danych
W ramach tegoż rzekomo kochanego przez użytkowników procesu firma żąda od nich dostępu do różnorakich zasobów danych. W tym zdjęć ich wizerunków, ich dokumentów (z wrażliwymi danymi!), nagrań na żywo, danych biometrycznych, cech osobowościowych…
Ogółem, danych, które ludzie najczęściej woleliby, by pozostały prywatne.
Niestety, mieliby pecha. Strzegąc bowiem dostępu do portali internetowych, firma AU10TIX nie ustrzegła bowiem własnych zasobów. Jak się bowiem okazało, jej dane do logowania były dostępne dla co bardziej „zainteresowanych” w Internecie. Plik z informacjami do logowania beztrosko wisiał sobie na Telegramie.
Innymi słowy, aktorzy trzeci mogli do tych danych uzyskać dostęp – a wraz z nimi dostać się także do nieprzebranych zasobów wrażliwych informacji osobistych, które zgromadzono (i dalej trzymano) w toku procedur weryfikacji konta.
…i Twojego konta
Na niebezpieczną sytuację zwrócili uwagę specjaliści z spiderSilk, firmy z zakresu bezpieczeństwa. Sytuacja ta trwać miała „na przestrzeni ostatniego roku” – czyli czasu na wyciek danych takoż było dość. Dostrzeżono je bowiem na kanale na Telegramie w marcu 2023 roku.
Co być może nie zaskakuje, żadne z portali społecznościowych ani firm, które miały korzystać z usług AU10TIX, nie skomentowały sytuacji. Skomentowała za to sama AU10TIX – twierdząc, że sytuacja była incydentalna, i że po skompromitowaniu danych do logowania w firmowym systemie zostały one unieważnione.
Ma to jednak nie korespondować z informacjami, które zgromadzić mieli pracownicy spiderSilk. Według nich, logowanie za pomocą owych danych miało działać jeszcze w tym miesiącu.
Objaw głębszej choroby
Oczywiście, nie sposób nie odnotować, że całego problemu by nie było, gdyby nie zupełne lekceważenie kwestii prywatności użytkowników w pierwszej kolejności. Żądania, które AU10TIX i inne podmioty formułują przy okazji weryfikacji konta, jawią się bowiem jako cokolwiek bezczelne.
Firma bez skrępowania chce bowiem wiedzieć wszystko o użytkownikach (nie będąc zresztą niestety wyjątkiem). Dokumenty i inne informacje, których domagają się one od ludzi, stanowią najwrażliwsze z możliwych dane osobiste. W oparciu o nie można m.in. zaciągać zobowiązania czy sygnować kontrakty.
A jedynym zabezpieczeniem dla użytkowników, że ich informacje nie zostaną w ten sposób wykorzystane, jest – zgadliście Państwo – „zaufanie”. Firma AU10TIX – której cały model biznesowy opiera się całkowity (i zrozumiały) brak zaufania w Internecie – oczekuje całkowitego zaufania dla siebie.
