TikTok, Uber, X ใช้บริการยืนยันตัวตนที่เผยข้อมูลใบขับขี่

 (404media.co)
1 คะแนน โดย GN⁺ 2024-06-28 | 1 ความคิดเห็น | แชร์ทาง WhatsApp

ปัญหาด้านความปลอดภัยของ AU10TIX

  • AU10TIX บริษัทที่ใช้ยืนยันตัวตนผู้ใช้ของ TikTok, Uber และ X เปิดเผยข้อมูลรับรองผู้ดูแลระบบไว้บนออนไลน์นานกว่าหนึ่งปี
  • AU10TIX ประมวลผลภาพใบหน้าและภาพใบขับขี่เพื่อยืนยันตัวตน
  • AU10TIX ซึ่งตั้งอยู่ในอิสราเอล อธิบายบนเว็บไซต์ว่าบริษัทให้บริการ "โซลูชันยืนยันตัวตนแบบครบวงจร"
  • ให้บริการตรวจสอบเอกสารยืนยันตัวตน, "การตรวจจับการมีชีวิต" จากวิดีโอสตรีมแบบเรียลไทม์, การคาดการณ์อายุ เป็นต้น
  • เว็บไซต์มีโลโก้ของ Fiverr, PayPal, Coinbase, LinkedIn, Upwork และบริษัทอื่น ๆ โดยบางแห่งยืนยันว่าเป็นลูกค้าปัจจุบันหรืออดีตลูกค้าของ AU10TIX

ความสำคัญของบริการยืนยันตัวตนและปัญหาด้านความปลอดภัย

  • โซเชียลเน็ตเวิร์กและเว็บไซต์ลามกจำนวนมากขึ้นกำลังเปลี่ยนไปใช้โมเดลการยืนยันตัวตนหรืออายุ
  • ผู้ใช้ต้องอัปโหลดเอกสารยืนยันตัวตนจริงเพื่อเข้าถึงบริการบางอย่าง
  • เหตุข้อมูลรั่วครั้งนี้ตอกย้ำว่าตัวบริการยืนยันตัวตนเองก็อาจตกเป็นเป้าหมายของแฮ็กเกอร์ได้
  • นักวิจัยด้านความปลอดภัยไซเบอร์ไม่ได้เผยแพร่ข้อมูลออกไป แต่ส่งภาพหน้าจอและข้อมูลบางส่วนให้ 404 Media เพื่อตรวจสอบยืนยัน

ความเห็นของ GN⁺

  • เหตุการณ์นี้แสดงให้เห็นช่องโหว่ด้านความปลอดภัยของบริการยืนยันตัวตน
  • เมื่อเว็บไซต์จำนวนมากขึ้นเรื่อย ๆ เริ่มบังคับใช้บริการยืนยันตัวตน การเสริมความปลอดภัยจึงเป็นสิ่งจำเป็น
  • บริษัทอย่าง AU10TIX จำเป็นต้องใช้มาตรการรักษาความปลอดภัยที่เข้มงวดยิ่งขึ้นเพื่อป้องกันเหตุด้านความปลอดภัย
  • บริการอื่นที่ให้ความสามารถคล้ายกันมี เช่น Jumio และ Onfido
  • เมื่อเลือกใช้เทคโนโลยีใหม่หรือโอเพนซอร์ส ควรให้ความสำคัญกับความปลอดภัยและความเป็นส่วนตัวเป็นอันดับแรก

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 2024-06-28
ความเห็นจาก Hacker News

  • บริษัทอ้างว่าพบและแก้ไขการรั่วไหลของข้อมูลรับรองตั้งแต่ 18 เดือนก่อน แต่ข้อมูลรับรองที่รั่วไหลยังใช้งานได้จนถึงเมื่อเดือนที่แล้ว

    • สงสัยว่าระดับการจัดการและความรอบคอบแบบนี้เป็นเรื่องปกติในหมู่ผู้ให้บริการด้านนี้หรือไม่
    • คิดว่าควรใช้ประกันเพื่อจ้างผู้เชี่ยวชาญมาจัดการปัญหาลักษณะนี้ให้ถูกต้อง

  • การรั่วไหลของข้อมูลเป็นผลลัพธ์ที่หลีกเลี่ยงได้ยากอยู่แล้ว

    • ในที่สุดทนายความที่มีหลักการและเข้าใจเทคโนโลยีอยู่บ้างจะทำให้บริษัทพวกนี้ต้องรับผิดชอบ
    • บริษัทอื่น ๆ จะเห็นเรื่องนี้แล้วพยายามหลีกเลี่ยงความรับผิดทางกฎหมาย แต่บางแห่งก็น่าจะเริ่มทำตัวอย่างมีความรับผิดชอบ

  • ยิ่งรู้สึกขอบคุณโซลูชัน ID ออนไลน์ของรัฐบาลเดนมาร์ก (MitID) มากขึ้น

    • แม้จะไม่สมบูรณ์แบบ แต่ก็ยืนยันตัวตนได้โดยไม่เปิดเผย PII
    • คิดว่าสหรัฐฯ ก็ควรมีโซลูชัน ID ออนไลน์ที่ปลอดภัยและเป็นมาตรฐาน

  • รู้สึกตกใจกับรายชื่อลูกค้าอย่าง eToro, Coinbase, Payoneer

    • สงสัยว่ามีวิธีตรวจสอบหรือไม่ว่าข้อมูลของตัวเองรั่วไหลหรือเปล่า
    • รูปใบขับขี่อาจถูกมองว่าเป็นข้อมูลชีวมิติภายใต้กฎหมายของบางรัฐ

  • เคยใช้บริการลักษณะนี้หลังทำแอป MFA ของผู้รับจดทะเบียนโดเมนหาย

    • เป็นไปได้ว่าใบขับขี่ของคนนั้นรั่วไหลจาก S3 bucket ของบริษัทดังกล่าว
    • หลังจากนั้นอีเมลที่คอยรบกวนให้เปิด MFA อีกครั้งก็น่าหงุดหงิด

  • คิดว่าสถานการณ์แบบนี้ท้ายที่สุดจะนำไปสู่การกำหนดให้ต้องมีใบอนุญาตวิชาชีพตามกฎหมายสำหรับงานบางประเภทในการพัฒนาซอฟต์แวร์

    • ถ้าเป็นธุรกิจที่จัดการ PII ก็ต้องการงานวิศวกรรมจริงจัง และวิศวกรเหล่านั้นควรได้รับการรับรอง
    • การมีใบอนุญาตทำให้ต้านแรงกดดันจากผู้จัดการหรือผู้บริหารระดับ C-suite ได้ง่ายขึ้น
    • การมีใบอนุญาตช่วยเพิ่มอำนาจต่อรองให้แรงงานที่มีทักษะสามารถทำงานให้ถูกต้องได้

  • สถานการณ์แบบนี้ให้ความรู้สึกเหมือนฝันร้ายแบบออร์เวลล์

    • คิดว่าบริการอย่าง TikTok และ X ไม่ควรเรียกร้องการยืนยันตัวตน

  • สงสัยว่าทำไมข้อมูลชีวมิติของพลเมืองสหรัฐฯ ถึงถูกส่งไปยังอิสราเอล

    • สงสัยว่าไม่มีกฎหมายเกี่ยวกับการที่ข้อมูลอ่อนไหวออกนอกศูนย์ข้อมูลในสหรัฐฯ หรืออย่างไร

  • มีการอ้างว่าข้อมูล PII อาจถูกเข้าถึงได้ แต่จนถึงตอนนี้ยังไม่มีหลักฐานว่าข้อมูลดังกล่าวถูกนำไปใช้ในทางที่ผิด

    • นักข่าวเข้าถึงข้อมูลและตรวจพบ PII แล้ว แล้วจะยังอ้างแบบนี้ได้อย่างไร
    • ทำให้อดตีความคำว่า "เราไม่เห็นหลักฐาน" ว่าเป็น "เราไม่ได้พยายามหาจริง ๆ" ไม่ได้