TikTok, Uber, X: ID-Verifizierungsdienst mit offengelegten Führerscheinen

 (404media.co)
1 Punkte von GN⁺ 2024-06-28 | 1 Kommentare | Auf WhatsApp teilen

Sicherheitsproblem bei AU10TIX

  • AU10TIX, ein Unternehmen zur Identitätsprüfung von Nutzern von TikTok, Uber und X, hat Verwaltungszugangsdaten über mehr als ein Jahr hinweg online offengelegt
  • AU10TIX verarbeitet Gesichtsfotos und Fotos von Führerscheinen zur Identitätsprüfung
  • Das in Israel ansässige Unternehmen AU10TIX beschreibt auf seiner Website, dass es eine "Full-Service-Lösung zur Identitätsprüfung" anbietet
  • Angeboten werden unter anderem die Prüfung von Identitätsdokumenten, "Liveness Detection" in Live-Videostreams und Altersschätzung
  • Auf der Website sind die Logos von Fiverr, PayPal, Coinbase, LinkedIn und Upwork zu sehen; einige davon bestätigten, aktuelle oder frühere Kunden von AU10TIX zu sein

Bedeutung von Identitätsprüfungsdiensten und Sicherheitsprobleme

  • Immer mehr soziale Netzwerke und Pornoseiten wechseln zu Modellen der Identitäts- oder Altersverifikation
  • Nutzer müssen echte Identitätsdokumente hochladen, um auf bestimmte Dienste zugreifen zu können
  • Der aktuelle Vorfall unterstreicht, dass Identitätsprüfungsdienste selbst zum Ziel von Hackern werden können
  • Ein Cybersicherheitsforscher stellte 404 Media zur Verifikation Screenshots und einige Daten zur Verfügung, ohne die Daten zu verbreiten

Meinung von GN⁺

  • Dieser Vorfall zeigt die Sicherheitsanfälligkeit von Identitätsprüfungsdiensten
  • Da Identitätsprüfungsdienste zunehmend auf mehr Websites verlangt werden, ist eine stärkere Absicherung unerlässlich
  • Unternehmen wie AU10TIX sollten robustere Sicherheitsmaßnahmen ergreifen, um Sicherheitsvorfälle zu verhindern
  • Andere Dienste mit ähnlichen Funktionen sind etwa Jumio und Onfido
  • Bei der Einführung neuer Technologien oder von Open Source sollten Sicherheit und Datenschutz oberste Priorität haben

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2024-06-28
Hacker-News-Kommentare

  • Das Unternehmen behauptete, die Offenlegung der Zugangsdaten vor 18 Monaten entdeckt und behoben zu haben, aber die offengelegten Zugangsdaten funktionierten noch bis vor einem Monat.

    • Ich frage mich, ob ein solches Maß an Verwaltung und Professionalität bei Anbietern in diesem Bereich üblich ist.
    • Ich denke, man sollte über Versicherungen Fachleute beauftragen, um solche Probleme richtig zu beheben.

  • Das Datenleck war ein absehbares Ergebnis.

    • Irgendwann wird ein prinzipientreuer Anwalt mit etwas technischem Verständnis diese Unternehmen zur Verantwortung ziehen.
    • Andere Unternehmen werden das sehen und versuchen, rechtliche Haftung zu vermeiden, aber einige werden anfangen, verantwortungsvoll zu handeln.

  • Ich bin zunehmend dankbar für die Online-ID-Lösung der dänischen Regierung (MitID).

    • Sie ist nicht perfekt, aber eine Identitätsprüfung ist möglich, ohne PII offenzulegen.
    • Ich denke, auch die USA brauchen eine standardisierte und sichere Online-ID-Lösung.

  • Ich war überrascht, als ich die Kundenliste mit eToro, Coinbase und Payoneer sah.

    • Ich frage mich, ob es eine Möglichkeit gibt zu prüfen, ob die eigenen Informationen offengelegt wurden.
    • Fotos von Führerscheinen könnten nach den Gesetzen einiger Bundesstaaten als biometrische Informationen gelten.

  • Ich habe einmal einen solchen Dienst genutzt, nachdem ich die MFA-App meines Domain-Registrars verloren hatte.

    • Möglicherweise wurde mein Führerschein aus dem S3-Bucket dieses Unternehmens offengelegt.
    • Danach waren die E-Mails, die mich zur erneuten Aktivierung von MFA aufforderten, lästig.

  • Ich denke, solche Situationen werden am Ende zu gesetzlich vorgeschriebenen Berufslizenzen für bestimmte Aufgaben der Softwareentwicklung führen.

    • Wenn ein Unternehmen mit PII arbeitet, braucht es echte Engineering-Arbeit, und diese Ingenieure sollten zertifiziert sein.
    • Mit einer Lizenz ist es leichter, sich dem Druck von Managern oder der C-Suite zu widersetzen.
    • Eine Lizenz verschafft qualifizierten Arbeitskräften den nötigen Hebel, um ihre Arbeit richtig zu machen.

  • Diese Situation fühlt sich wie ein orwellscher Albtraum an.

    • Ich finde nicht, dass Dienste wie TikTok und X eine Identitätsprüfung verlangen sollten.

  • Ich frage mich, warum biometrische Daten von US-Bürgern nach Israel übertragen werden.

    • Ich frage mich, ob es keine Gesetze dagegen gibt, dass sensible Informationen US-Rechenzentren verlassen.

  • Es wird behauptet, dass PII-Daten potenziell zugänglich waren, es bislang aber keine Beweise für einen Missbrauch dieser Daten gebe.

    • Ein Journalist hat auf die Daten zugegriffen und PII bestätigt; ich frage mich, wie eine solche Behauptung möglich ist.
    • Die Aussage „wir haben keine Beweise gesehen“ lese ich als „wir haben nicht wirklich danach gesucht“.