大手IT企業が利用する本人確認会社AU10TIXが写真付き身分証明書を公開

ハッカーの攻撃を受けやすい状態にしておいて絶対に見たくないタイプの会社があるとすれば、それは運転免許証などの写真付き身分証明書にアクセスできる本人確認サービスだ。しかし、AU10TIX ではまさにそれが起きたようだ。

このサイバーセキュリティ企業の過去または現在の顧客には、PayPal、Coinbase、X、TikTok、Uber、LinkedIn、Upwork、Fiverr などがあります。

本人確認会社

マネーロンダリング規制の遵守やアカウント復旧の実現など、企業がユーザーの本人確認をしなければならない場合があります。一般的な方法としては、運転免許証やパスポートなどの写真付き身分証明書のアップロードをユーザーに求めることが挙げられます。

場合によっては、企業はさらに、ユーザーの顔をさまざまな角度から映したビデオを要求し、これを ID の写真と照合して、不正な人物の手に渡っていないことを確認します。

多くの大手企業がこの業務を外部企業に委託することを選択しており、イスラエルに拠点を置く AU10TIX は最もよく知られている企業の 1 つです。

AU10TIX 管理者の資格情報が公開

404 Media は、AU10TIX が管理者の資格情報を誤って公開し、ハッカーの個人データの宝庫へのアクセスを可能にしたと報じています。

404 Mediaが入手したスクリーンショットやデータによると、[AU10TIX]は管理者の認証情報を1年以上オンラインで公開しており、ハッカーがその機密データにアクセスする可能性があった。[…]

フセイン氏によると、この認証情報一式はログ記録プラットフォームへのアクセスを可能にし、そのプラットフォームには、身分証明書をアップロードした特定の人物に関するデータへのリンクが含まれていた。アクセス可能な情報には、氏名、生年月日、国籍、身分証明書番号、そして運転免許証などのアップロードされた書類の種類が含まれる。さらに、次のリンクには身分証明書の画像が含まれており、その中にはアメリカの運転免許証も含まれていた。

公開された資格情報は、同社のネットワーク管理者のものであると思われます。

404 Mediaはこれらの認証情報をダウンロードし、LinkedInでAU10TIXのネットワークオペレーションセンターマネージャーとして職務を記載している人物の名前と一致していることを発見しました。ファイルには、SalesforceやOktaのツール、そしてログサービス自体など、従業員が使用する様々なサービスのパスワードと認証トークンが多数含まれていました。 

同社はこの問題について警告を受けていたにもかかわらず、直ちにアクセスをブロックしなかった。

404 Mediaは6月13日に初めてAU10TIXにコメントを求めました。約1週間後、AU10TIXは「ご指摘の件は18ヶ月以上前に発生しました。徹底的な調査の結果、従業員の認証情報が不正にアクセスされたことが判明し、速やかに取り消されました」と回答しました。フセイン氏によると、実際には、ログ記録プラットフォームの認証情報は今月時点でまだ機能していたとのことです。404 Mediaがこの情報をAU10TIXに伝えると、同社はTelegramで認証情報が最初に公開されてから1年以上経った後、関連システムを廃止すると述べました。

同社は個人情報は取得されていないと主張しているが、認証情報がハッカーが使用するTelegramチャンネルで共有され、1年以上も有効であったことを考えると、これは疑わしいと思われる。

画像: 9to5MacによるWikimedia/CC4.0とJames LeeのUnsplashからの画像のコラージュ

bilomu.com を Google ニュース フィードに追加します。