که شرکت تأیید هویت AU10TIX مجموعهای از اعتبارنامههای مدیریت را برای بیش از یک سال در معرض دید قرار داد و احتمالاً به عوامل تهدید اجازه میداد اطلاعات حساس مشتریانش را بدزدند.
AU10TIX از طریق تصاویر سلفی و اسکن گواهینامه رانندگی افراد، هویت کاربر را از طرف مشتریان خود، که شامل TikTok، X و Uber میشود، تأیید میکند.
محققان امنیت سایبری از spiderSilk اولین (در میان محققان کلاه سفید) بودند که به این اعتبار دست یافتند. آنها ادعا می کنند که اطلاعات ورود به سیستم دسترسی به یک پلت فرم ورود به سیستم را می دهد، جایی که دسترسی به اسناد هویتی بی وقفه است.
مدارک دزدیده شده
مصعب حسین، افسر ارشد امنیتی در spiderSilk گفت: "خواندن شخصی من از این وضعیت این است که به یک ارائه دهنده خدمات تأیید هویت هویت افراد سپرده شده است و آن را در اجرای اقدامات ساده برای محافظت از هویت افراد و اسناد شناسایی حساس ناکام گذاشته است. "
متأسفانه، به نظر میرسد که بازیکنان مخرب spiderSilk را شکست دادهاند، زیرا اطلاعات حساب احتمالاً توسط یک بدافزار در دسامبر 2022 جمعآوری شده و در مارس 2023 از طریق تلگرام به اشتراک گذاشته شده است.
اگر کسی به این پایگاه داده دسترسی داشت (که AU10TIX ادعا می کند در طبیعت مورد سوء استفاده قرار نگرفته است)، به نام افراد، تاریخ تولد، ملیت، شماره شناسایی و تصاویر چهره آنها دسترسی پیدا می کرد. این برای اجرای موفق سرقت هویت حملات فیشینگ بیش از اندازه کافی است. چنین داده هایی در بازار سیاه نیز بسیار گران هستند.
AU10TIX بيان کرد که به مشتریان آسیب دیده اطلاع داده و سیستم عامل فعلی را با یک سیستم عامل جدید با تمرکز بیشتر بر امنیت جایگزین می کند.
در سپتامبر 2023، زمانی که گزارش دادیم شرکت دارای یک برگه رپ تمیز است، بدون هیچ گونه نقض اطلاعات عمومی ، X را به عنوان مشتری امضا کرد . به این ترتیب، به عنوان یک انتخاب خوب برای غول رسانه های اجتماعی دیده می شد. با این حال، ما گفتیم که با توجه به تصمیمات بحث برانگیز ماسک در گذشته شک داریم و قطعاً حق با ما بود.
ارسال نظر