AU10TIXのセキュリティ問題
- TikTok、Uber、Xユーザーの身元を確認する企業AU10TIXが、1年以上にわたり管理者資格情報をオンライン上に露出していた
- AU10TIXは顔写真と運転免許証の写真を処理して身元を確認する
- イスラエルに拠点を置くAU10TIXは、ウェブサイトで「フルサービスの本人確認ソリューション」を提供すると説明している
- 身分証明書の確認、ライブ動画ストリームでの「生体検知」、年齢推定などのサービスを提供している
- Fiverr、PayPal、Coinbase、LinkedIn、Upworkなどのロゴがウェブサイトに掲載されており、一部はAU10TIXの現在または過去の顧客であることが確認されている
本人確認サービスの重要性とセキュリティ問題
- より多くのソーシャルネットワークやポルノサイトが、本人確認または年齢確認モデルへ移行している
- ユーザーは特定のサービスにアクセスするため、実際の身分証明書をアップロードする必要がある
- 今回の流出事件は、本人確認サービス自体がハッカーの標的になり得ることを浮き彫りにしている
- サイバーセキュリティ研究者はデータを配布せず、404 Mediaにスクリーンショットと一部データを提供して検証した
GN⁺の意見
- 今回の事件は、本人確認サービスのセキュリティ脆弱性を示している
- 本人確認サービスがますます多くのウェブサイトで求められるようになる中、セキュリティ強化は必須である
- AU10TIXのような企業は、セキュリティ事故を防ぐためにより強力なセキュリティ対策を講じる必要がある
- 類似機能を提供する他のサービスとしては、Jumio、Onfidoなどがある
- 新しい技術やオープンソースを採用する際は、セキュリティとプライバシー保護を最優先に考慮すべきである
1件のコメント
Hacker News の意見
会社は認証情報の漏えいを18か月前に発見して対処したと主張していたが、漏えいした認証情報は1か月前までまだ有効だった
データ漏えいは当然の帰結だった
デンマーク政府のオンラインIDソリューション(MitID)にますます感謝するようになっている
eToro、Coinbase、Payoneerのような顧客リストを見て驚いた
ドメインレジストラのMFAアプリを失くした後、このようなサービスを使ったことがある
こうした状況は、最終的にソフトウェア開発の特定業務に対して法的に要求される専門ライセンスへとつながると思う
こうした状況はオーウェル的な悪夢のように感じられる
米国市民の生体情報がなぜイスラエルに送られるのか疑問だ
PIIデータには潜在的にアクセス可能だったが、現時点ではそのようなデータが悪用された証拠はないと主張している