Credenciales administrativas de «AU10tix», una compañía que presta el servicio de verificación de identidades de usuarios en plataformas como TikTok, Uber y X, quedaron expuestas durante más de un año. Esto podría haber permitido a hackers acceder a datos sensibles como licencias de conducir. Esta brecha de seguridad fue descubierta por Mossab Hussein, jefe de seguridad de Spidersilk, quien comentó que «una empresa de verificación de identidad fue confiada con las identidades de las personas y no implementó medidas simples para proteger esos documentos sensibles».
AU10tix es una empresa con sede en Israel y ofrece soluciones completas de comprobación de identidad, incluyendo la detección en tiempo real y la revisión de edad. Estos expusieron sus credenciales administrativas en línea y permitieron el acceso a una plataforma de registro con enlaces a documentos de identidad.
Según el informe de 404 Media, estas credenciales se encontraron en un canal de Telegram en marzo de 2023, después de haber sido obtenidas por malware en diciembre de 2022. Las credenciales expuestas incluían contraseñas y tokens de autenticación vinculados a un gerente de operaciones de red de AU10tix.
Si los hackers accedieron a los datos de los clientes, estos podrían incluir el nombre, fecha de nacimiento, nacionalidad, número de identificación e imágenes de los documentos cargados por los usuarios. La información obtenida es suficiente para cometer robo de identidad. AU10tix afirmó que no hay evidencia de explotación de datos y que han notificado a los clientes afectados, además de estar en proceso de desmantelar el sistema operativo comprometido y reemplazarlo por uno nuevo con mayor enfoque en la seguridad.
Algunas empresas asociadas, como Upwork, han cambiado de proveedor de verificación antes de que surgiera este problema, mientras que otras como Fiverr y Coinbase no han reportado exposición de datos, pero continúan trabajando con AU10tix. Sin embargo, X comenzó a utilizar los servicios de AU10tix en septiembre pasado para verificar a usuarios premium con identificaciones gubernamentales.
