TikTok, Uber, dan X gunakan layanan verifikasi ID yang mengekspos SIM

 (404media.co)
1 poin oleh GN⁺ 2024-06-28 | 1 komentar | Bagikan ke WhatsApp

Masalah keamanan AU10TIX

  • AU10TIX, perusahaan yang memverifikasi identitas pengguna TikTok, Uber, dan X, mengekspos kredensial admin secara online selama lebih dari satu tahun
  • AU10TIX memverifikasi identitas dengan memproses foto wajah dan foto surat izin mengemudi
  • AU10TIX yang berbasis di Israel menjelaskan di situs webnya bahwa mereka menyediakan "solusi verifikasi identitas layanan penuh"
  • Perusahaan ini menawarkan layanan seperti verifikasi dokumen identitas, "deteksi keberlangsungan hidup" dari aliran video langsung, dan prediksi usia
  • Logo Fiverr, PayPal, Coinbase, LinkedIn, dan Upwork tercantum di situs webnya, dan beberapa di antaranya mengonfirmasi sebagai pelanggan AU10TIX saat ini atau sebelumnya

Pentingnya layanan verifikasi identitas dan masalah keamanannya

  • Semakin banyak jejaring sosial dan situs porno yang beralih ke model verifikasi identitas atau usia
  • Pengguna harus mengunggah dokumen identitas asli untuk mengakses layanan tertentu
  • Kebocoran kali ini menegaskan bahwa layanan verifikasi identitas itu sendiri bisa menjadi target peretas
  • Peneliti keamanan siber tidak menyebarkan data tersebut, tetapi memberikan tangkapan layar dan sebagian data kepada 404 Media untuk verifikasi

Opini GN⁺

  • Insiden ini menunjukkan kerentanan keamanan pada layanan verifikasi identitas
  • Karena layanan verifikasi identitas makin banyak diwajibkan oleh situs web, penguatan keamanan menjadi hal yang esensial
  • Perusahaan seperti AU10TIX harus mengambil langkah keamanan yang lebih kuat untuk mencegah insiden keamanan
  • Layanan lain dengan fungsi serupa antara lain Jumio dan Onfido
  • Saat mengadopsi teknologi baru atau open source, keamanan dan privasi harus menjadi pertimbangan utama

Bacaan terkait

1 komentar

 
GN⁺ 2024-06-28
Komentar Hacker News

  • Perusahaan mengklaim telah menemukan dan memperbaiki kebocoran kredensial 18 bulan lalu, tetapi kredensial yang bocor masih berfungsi sampai sebulan yang lalu

    • Saya bertanya-tanya apakah tingkat pengelolaan dan kecanggihan seperti ini memang umum di kalangan vendor di bidang ini
    • Saya rasa mereka perlu mempekerjakan para ahli melalui asuransi agar masalah seperti ini ditangani dengan benar

  • Kebocoran data adalah akibat yang sudah bisa diduga

    • Pada akhirnya, pengacara berprinsip yang sedikit paham teknologi akan membuat perusahaan-perusahaan seperti ini bertanggung jawab
    • Perusahaan lain akan melihat ini dan berusaha menghindari tanggung jawab hukum, tetapi sebagian akan mulai bertindak lebih bertanggung jawab

  • Saya makin menghargai solusi ID online pemerintah Denmark (MitID)

    • Memang tidak sempurna, tetapi bisa memverifikasi identitas tanpa mengekspos PII
    • Saya rasa AS juga membutuhkan solusi ID online yang aman dan terstandarisasi

  • Saya terkejut melihat daftar pelanggan seperti eToro, Coinbase, dan Payoneer

    • Saya penasaran apakah ada cara untuk memeriksa apakah informasi saya ikut bocor
    • Foto SIM dapat dianggap sebagai informasi biometrik menurut hukum di beberapa negara bagian

  • Saya pernah menggunakan layanan seperti ini setelah kehilangan aplikasi MFA dari registrar domain saya

    • Ada kemungkinan SIM saya bocor dari bucket S3 perusahaan tersebut
    • Setelah itu, email yang meminta saya mengaktifkan kembali MFA terasa menjengkelkan

  • Saya rasa situasi seperti ini pada akhirnya akan mengarah pada lisensi profesional yang diwajibkan secara hukum untuk tugas-tugas tertentu dalam pengembangan perangkat lunak

    • Jika sebuah bisnis menangani PII, maka dibutuhkan rekayasa yang sungguh-sungguh, dan para insinyurnya harus tersertifikasi
    • Dengan adanya lisensi, akan lebih mudah melawan tekanan dari manajer atau jajaran C-suite
    • Lisensi memberi pekerja terampil daya tawar agar bisa melakukan pekerjaan dengan benar

  • Situasi seperti ini terasa seperti mimpi buruk ala Orwell

    • Saya rasa layanan seperti TikTok dan X seharusnya tidak meminta verifikasi identitas

  • Saya penasaran mengapa data biometrik warga AS dikirim ke Israel

    • Saya bertanya-tanya apakah tidak ada hukum tentang informasi sensitif yang keluar dari pusat data di AS

  • Mereka mengklaim bahwa data PII mungkin berpotensi diakses, tetapi sejauh ini tidak ada bukti bahwa data tersebut disalahgunakan

    • Seorang jurnalis mengakses data itu dan memeriksa PII, jadi saya heran bagaimana klaim seperti ini bisa dibuat
    • Saya cenderung menafsirkan "kami tidak melihat bukti" sebagai "kami memang tidak benar-benar mencarinya"