TikTok, Uber, X: dịch vụ xác minh ID làm lộ bằng lái xe

 (404media.co)
1 điểm bởi GN⁺ 2024-06-28 | 1 bình luận | Chia sẻ qua WhatsApp

Vấn đề bảo mật của AU10TIX

  • AU10TIX, công ty xác minh danh tính cho người dùng TikTok, Uber và X, đã để lộ thông tin đăng nhập quản trị trên mạng trong hơn 1 năm
  • AU10TIX xác minh danh tính bằng cách xử lý ảnh khuôn mặt và ảnh bằng lái xe
  • AU10TIX có trụ sở tại Israel, tự mô tả trên website là cung cấp "giải pháp xác minh danh tính trọn gói"
  • Công ty cung cấp các dịch vụ như xác minh giấy tờ tùy thân, "phát hiện người thật" từ luồng video thời gian thực, và ước tính độ tuổi
  • Logo của Fiverr, PayPal, Coinbase, LinkedIn, Upwork và các công ty khác xuất hiện trên website; một số đã xác nhận là khách hàng hiện tại hoặc trước đây của AU10TIX

Tầm quan trọng của dịch vụ xác minh danh tính và vấn đề bảo mật

  • Ngày càng nhiều mạng xã hội và trang web nội dung người lớn chuyển sang mô hình xác minh danh tính hoặc độ tuổi
  • Người dùng phải tải lên giấy tờ danh tính thật để truy cập một số dịch vụ nhất định
  • Vụ rò rỉ lần này nhấn mạnh rằng chính các dịch vụ xác minh danh tính cũng có thể trở thành mục tiêu của hacker
  • Một nhà nghiên cứu an ninh mạng đã cung cấp ảnh chụp màn hình và một phần dữ liệu cho 404 Media để xác minh mà không phát tán dữ liệu

Ý kiến của GN⁺

  • Vụ việc này cho thấy lỗ hổng bảo mật của các dịch vụ xác minh danh tính
  • Khi các dịch vụ xác minh danh tính ngày càng được nhiều website yêu cầu, việc tăng cường bảo mật là điều bắt buộc
  • Các công ty như AU10TIX cần áp dụng những biện pháp bảo mật mạnh hơn để ngăn chặn sự cố an ninh
  • Các dịch vụ khác cung cấp chức năng tương tự gồm có Jumio, Onfido
  • Khi áp dụng công nghệ mới hoặc mã nguồn mở, cần ưu tiên hàng đầu cho bảo mật và quyền riêng tư

Bài viết liên quan

1 bình luận

 
GN⁺ 2024-06-28
Ý kiến trên Hacker News

  • Công ty tuyên bố đã phát hiện và khắc phục việc rò rỉ thông tin xác thực từ 18 tháng trước, nhưng các thông tin xác thực bị lộ vẫn còn hoạt động cho đến tận một tháng trước

    • Tự hỏi liệu mức độ quản trị và tinh vi kiểu này có phải là chuyện phổ biến ở các nhà cung cấp trong lĩnh vực này hay không
    • Tôi nghĩ cần thuê chuyên gia thông qua bảo hiểm để xử lý đúng đắn những vấn đề như thế này

  • Vụ rò rỉ dữ liệu là hệ quả tất yếu

    • Cuối cùng sẽ có một luật sư có nguyên tắc và hiểu biết đôi chút về công nghệ buộc những công ty như thế này phải chịu trách nhiệm
    • Các công ty khác sẽ nhìn vào đó và cố tránh trách nhiệm pháp lý, nhưng một số sẽ bắt đầu hành xử có trách nhiệm hơn

  • Tôi ngày càng thấy trân trọng giải pháp ID trực tuyến của chính phủ Đan Mạch (MitID)

    • Nó không hoàn hảo, nhưng có thể xác minh danh tính mà không làm lộ PII
    • Tôi nghĩ Mỹ cũng cần một giải pháp ID trực tuyến an toàn, được tiêu chuẩn hóa

  • Tôi ngạc nhiên khi thấy danh sách khách hàng như eToro, Coinbase, Payoneer

    • Tò mò không biết có cách nào để kiểm tra xem thông tin của mình đã bị lộ hay chưa
    • Ảnh bằng lái xe có thể được coi là dữ liệu sinh trắc học theo luật của một số bang

  • Tôi từng dùng một dịch vụ như vậy sau khi làm mất ứng dụng MFA của nhà đăng ký tên miền

    • Có khả năng bằng lái xe của tôi đã bị lộ từ bucket S3 của công ty đó
    • Sau đó tôi thấy phiền vì các email yêu cầu bật lại MFA

  • Tôi nghĩ những chuyện như thế này cuối cùng sẽ dẫn đến việc pháp luật yêu cầu giấy phép hành nghề chuyên môn đối với một số công việc nhất định trong phát triển phần mềm

    • Nếu là doanh nghiệp xử lý PII thì cần kỹ thuật thực thụ, và những kỹ sư đó phải được chứng nhận
    • Có giấy phép thì sẽ dễ chống lại áp lực từ quản lý hoặc ban điều hành hơn
    • Giấy phép mang lại đòn bẩy để lao động lành nghề có thể làm đúng công việc của mình

  • Tình huống này giống như một cơn ác mộng kiểu Orwell

    • Tôi không nghĩ các dịch vụ như TikTok và X nên được yêu cầu xác minh danh tính

  • Tò mò vì sao dữ liệu sinh trắc học của công dân Mỹ lại được chuyển sang Israel

    • Tự hỏi chẳng lẽ không có luật nào về việc thông tin nhạy cảm rời khỏi các trung tâm dữ liệu ở Mỹ

  • Họ tuyên bố dữ liệu PII có khả năng đã bị truy cập, nhưng đến nay không có bằng chứng cho thấy dữ liệu đó bị lạm dụng

    • Nhà báo đã truy cập dữ liệu và xác nhận PII, nên thật khó hiểu làm sao họ có thể đưa ra tuyên bố như vậy
    • Tôi có xu hướng hiểu câu "chúng tôi chưa thấy bằng chứng" là "chúng tôi thực ra chưa thực sự tìm kiếm"