Verkkopalveluiden käyttäjien henkilöllisyyksien todentamiseen erikoistunut Au10tix-yhtiö joutui ikävään valoon kun paljastui, että sen erään lokialustan admin-tunnuksia oli jaettu tietojen vuotamiseen keskittyvällä Telegram-kanavalla, 404 Median uutinen kertoo.
Au10tix huolehtii muun muassa joidenkin Tiktokin, Uberin ja X:n käyttäjien henkilöllisyyden todentamisesta käsittelemällä käyttäjien valokuvia ja arvioimalla henkilöllisyystodistusten todenperäisyyttä.
Löydön teki tietoturvafirma Spidersilkin tietoturvajohtaja Mossab Hussein, joka lähestyi 404 Mediaa ja kertoi löydöksistään ruutukaappausten ja datanäytteiden kera. Lokialustalta löytyi muun muassa henkilöllisyytensä verifioineiden henkilöiden nimiä, syntymäpäiviä, kansallisuuksia, henkilötunnuksia ja kuvia muun muassa käyttäjien palveluun lataamista ajokorttien kuvista.
Datakenttien nimet, joista 404 sai esimerkkejä, antavat vihjeitä myös siitä, miten henkilöllisyystodistusten aitoutta arvioidaan, ja minkä Au10tixin asiakkaiden tietoja lokissa on voinut olla. Lokista löytyi esimerkiksi tietokenttiä nimeltä ”TikTok_Shop_Creator”, ”Impersonation_XCorp” ja ”uber-carshare-passport” viitaten teknologiajätteihin.
Kyseiset yhtiöt eivät ole vastanneet 404 Median kommenttipyyntöihin.
Au10tixilla ei tietoa henkilötietojen väärinkäytöksistä
404:n selvityksen perusteella Telegramissa jaetut tunnukset kuuluvat Au10tixillä työskentelevälle henkilölle, ja lokialustan lisäksi Telegramissa vuodettiin myös muita työntekijän admin-tunnuksia.
Kun 404 pyysi kommenttia Au10tixilta kesäkuussa 2024, yhtiön edustaja kertoi, että vuoto tapahtui puolitoista vuotta aikaisemmin, ja että työntekijän tunnukset vietiin laittomasti. Yhtiö väitti, että tunnukset poistettiin heti käytöstä, mutta Spidersilkin Husseinin mukaan tunnuksia pystyi vielä käyttämään kesäkuussa 2024. Tähän Au10tix vastasi vain, että se oli poistamassa tapaukseen liittyvän lokialustan käytöstä.
Au10tixin vastauksen mukaan sillä ei ole tietoa, että vaikka teoriassa ulkopuolisilla tahoilla olisi ollut pääsy lokialustan sisältämiin henkilötietoihin, niitä ei sen tietojen mukaan ole käytetty väärin.
Myös Au10tixin asiakasyritys Coinbase vahvisti 404 Medialle, ettei se ole tietoinen, että sen asiakkaiden dataa olisi altistunut, mutta se jatkaa tilanteen tarkkailua.
Infostealer asialla
404 Median mukaan lokipalvelun tunnukset ovat voineet vuotaa joulukuussa 2022 tietoja keräävän haittaohjelmatartunnan seurauksena. Tiedot vuodettiin Telegram-kanavalle alun perin maaliskuussa 2023.
Vastaavat salasanoja ja muita kirjautumistietoja keräävät haittaohjelmat ovat yleistyneet huolestuttavaan tahtiin ja ovat yhä useampien tietovuotojen juurisyynä. Esimerkiksi pilvitallennusfirma Snowflaken tietovuodon taustalla uskotaan olleen infostealer-tyyppinen haittaohjelma.
Tietovuoto puhuttaa erityisesti Yhdysvalloissa.
Lainsäätäjät maan eri osavaltioissa ovat säätäneet muun muassa aikuisviihdettä sisältäville verkkopalveluille ikärajavaatimuksia, joiden takia sivustojen on varmennettava käyttäjiensä ikä valtion myöntämän henkilötodistuksen voimin, 404:n aiempi artikkeli kertoo. Tämä voi jatkossa altistaa yhä useampien ihmisten sensitiivisiä henkilötietoja tietovuodoille.