TikTok, Uber et X : un service de vérification d’identité a exposé des permis de conduire

 (404media.co)
1 points par GN⁺ 2024-06-28 | 1 commentaires | Partager sur WhatsApp

Problème de sécurité chez AU10TIX

  • AU10TIX, une entreprise qui vérifie l’identité des utilisateurs de TikTok, Uber et X, a exposé en ligne des identifiants administrateur pendant plus d’un an
  • AU10TIX vérifie l’identité en traitant des photos de visage et des photos de permis de conduire
  • Basée en Israël, AU10TIX se présente sur son site web comme un « service complet de vérification d’identité »
  • L’entreprise propose des services tels que la vérification de documents d’identité, la « détection de vivacité » à partir de flux vidéo en temps réel, ainsi que l’estimation de l’âge
  • Les logos de Fiverr, PayPal, Coinbase, LinkedIn et Upwork figurent sur son site, et certains ont confirmé être des clients actuels ou passés d’AU10TIX

Importance des services de vérification d’identité et problèmes de sécurité

  • De plus en plus de réseaux sociaux et de sites pornographiques adoptent des modèles de vérification d’identité ou d’âge
  • Les utilisateurs doivent téléverser de véritables documents d’identité pour accéder à certains services
  • Cette fuite souligne que les services de vérification d’identité eux-mêmes peuvent devenir des cibles pour les hackers
  • Un chercheur en cybersécurité a fourni à 404 Media des captures d’écran et une partie des données pour vérification, sans les diffuser

L’avis de GN⁺

  • Cet incident met en évidence les failles de sécurité des services de vérification d’identité
  • À mesure que ces services sont exigés par un nombre croissant de sites web, le renforcement de la sécurité devient indispensable
  • Des entreprises comme AU10TIX doivent mettre en place des mesures de sécurité plus robustes pour prévenir ce type d’incident
  • Parmi les autres services offrant des fonctions similaires, on peut citer Jumio et Onfido
  • Lors de l’adoption de nouvelles technologies ou de logiciels open source, la sécurité et la protection de la vie privée doivent rester la priorité absolue

À lire aussi

1 commentaires

 
GN⁺ 2024-06-28
Avis Hacker News

  • L’entreprise affirme avoir découvert et résolu la fuite d’identifiants il y a 18 mois, mais les identifiants compromis fonctionnaient encore il y a un mois

    • Je me demande si ce niveau de gestion et de sophistication est courant chez les fournisseurs de ce secteur
    • Je pense qu’il faudrait embaucher des experts via l’assurance pour régler ce genre de problème correctement

  • La fuite de données était une conséquence inévitable

    • Un avocat de principe qui s’y connaît un minimum en technologie finira par tenir ces entreprises pour responsables
    • D’autres entreprises verront cela et tenteront d’éviter toute responsabilité juridique, mais certaines commenceront à agir de manière responsable

  • J’apprécie de plus en plus la solution d’identité en ligne du gouvernement danois (MitID)

    • Ce n’est pas parfait, mais elle permet de vérifier l’identité sans exposer de PII
    • Je pense que les États-Unis ont aussi besoin d’une solution d’identité en ligne standardisée et sécurisée

  • J’ai été surpris de voir la liste de clients comme eToro, Coinbase et Payoneer

    • Je me demande s’il existe un moyen de vérifier si mes informations ont été compromises
    • Une photo de permis de conduire peut être considérée comme une donnée biométrique selon la législation de certains États

  • J’ai déjà utilisé un service de ce type après avoir perdu l’application MFA de mon bureau d’enregistrement de domaines

    • Il est possible que mon permis de conduire ait été exposé depuis le bucket S3 de cette entreprise
    • Ensuite, les e-mails me demandant de réactiver la MFA étaient agaçants

  • Je pense que ce genre de situation finira par conduire à une obligation légale de licence professionnelle pour certaines tâches du développement logiciel

    • Si une entreprise traite des PII, il faut une véritable ingénierie, et ces ingénieurs devraient être certifiés
    • Une licence permet de mieux résister aux pressions des managers ou de la C-suite
    • Une licence donne aux travailleurs qualifiés le levier nécessaire pour faire leur travail correctement

  • Tout cela ressemble à un cauchemar orwellien

    • Je ne pense pas que des services comme TikTok et X devraient exiger une vérification d’identité

  • Je me demande pourquoi les données biométriques de citoyens américains sont transmises à Israël

    • Je me demande s’il n’existe pas des lois empêchant des informations sensibles de quitter les centres de données américains

  • Ils affirment que des données PII étaient potentiellement accessibles, mais qu’à ce jour, rien ne prouve un usage abusif de ces données

    • Le journaliste a accédé aux données et a confirmé la présence de PII ; je me demande donc comment une telle affirmation est possible
    • J’interprète « nous n’avons vu aucune preuve » comme « nous n’avons pas vraiment cherché »