Sebuah perusahaan verifikasi identitas yang bekerja atas nama TikTok, X, dan Uber, antara lain, telah membiarkan serangkaian kredensial administratif terekspos selama lebih dari setahun, AU10TIX yang berpusat di Israel memverifikasi identitas pengguna dengan menggunakan gambar wajah dan SIM mereka, yang berpotensi membuat keduanya rentan terhadap peretas.
“Menurut pemahaman saya pribadi, penyedia layanan Verifikasi ID dipercayakan dengan identitas orang-orang dan gagal menerapkan langkah-langkah sederhana untuk melindungi identitas orang-orang dan dokumen ID yang sensitif,” kata Mossab Hussein, kepala petugas keamanan di perusahaan keamanan siber spiderSilk yang pertama kali menyadari kredensial yang terekspos.
Kumpulan kredensial admin yang dibiarkan terbuka mengarah langsung ke platform logging, yang pada gilirannya menyertakan tautan ke dokumen identitas. Bahkan ada alasan untuk mencurigai bahwa pelaku kejahatan mendapatkan kredensial ini dan benar-benar menggunakannya.
Mereka tampaknya telah diambil oleh malware pada bulan Desember 2022 dan ditempatkan di saluran Telegram pada bulan Maret 2023, menurut stempel waktu dan pesan yang diperoleh oleh 404 Media. Organisasi berita tersebut mengunduh kredensialnya dan menemukan banyak kata sandi dan token autentikasi yang ditautkan ke seseorang yang mencantumkan perannya di LinkedIn sebagai Manajer Pusat Operasi Jaringan di AU10TIX.
Jika peretas berhasil mendapatkan data pelanggan, data tersebut akan mencakup nama pengguna, tanggal lahir, kewarganegaraan, nomor identitas, dan gambar dokumen yang diunggah. Itu saja yang dibutuhkan oleh seorang internet gollum untuk mencuri identitas. Yang harus mereka lakukan hanyalah mengambil kredensial, masuk, dan mulai membuat kekacauan. Astaga.
AU10TIX telah mengeluarkan pernyataan mengenai masalah ini, menulis bahwa “data tersebut berpotensi dapat diakses” tetapi mereka melihat “tidak ada bukti bahwa data tersebut telah dieksploitasi.” Perusahaan mengatakan bahwa pelanggan yang terkena dampak telah diberitahu dan mereka menonaktifkan sistem operasi saat ini demi sistem operasi baru yang lebih fokus pada keamanan.
Beberapa mitranya mengganti perusahaan verifikasi sebelum masalah ini muncul. Seorang juru bicara Upwork mengatakan bahwa mereka telah “bekerja sama dengan penyedia layanan yang berbeda untuk beberapa waktu sekarang.” Namun, X baru saja mendaftar dengan AU10TIX dan menggunakan tanda pengenal yang dikeluarkan pemerintah untuk verifikasi pengguna premium. Lainnya, seperti Fiverr dan Coinbase mengatakan mereka tidak mengetahui adanya paparan data, meskipun mereka masih bekerja dengan AU10TIX.
Membocorkan data pelanggan di Telegram atau di web gelap telah menjadi cara paling populer bagi para peretas untuk melakukan aksinya. Pada akhir Maret, lebih dari 73 juta kata sandi AT&T . LoanDepot , seperti halnya .
