Découverte choquante : un service de vérification d’identité lié à TikTok et X a laissé ses codes d’accès à découvert pendant un an
Cela signifie que les pirates informatiques auraient pu accéder à des données sensibles, telles que les permis de conduire. Avez-vous déjà pensé à la sécurité de vos informations personnelles en ligne ?
Tl;dr
- AU10TIX, une entreprise de vérification d’identité, a laissé des informations sensibles à découvert pendant plus d’un an.
- Ces informations pourraient avoir été utilisées par des acteurs malveillants pour usurper des identités.
- AU10TIX affirme ne pas avoir de preuve que ces données ont été exploitées.
- Certaines entreprises partenaires ont changé de fournisseur avant que ce problème ne soit découvert.
Une faille de sécurité chez AU10TIX
La société israélienne AU10TIX, spécialisée dans la vérification d’identité pour des entreprises comme TikTok, X et Uber, a laissé un ensemble de données administratives sensibles exposées pendant plus d’un an. Cette situation a été révélée par 404 Media. L’entreprise vérifie l’identité des utilisateurs en utilisant leurs photos et leurs permis de conduire, une faille de sécurité pourrait donc offrir ces informations aux pirates.
Les conséquences d’une négligence
Selon Mossab Hussein, le responsable de la sécurité de la société de cybersécurité spiderSilk, cette négligence est une véritable trahison de la confiance des utilisateurs. En effet, le fournisseur de services de vérification d’identité a failli à sa mission de protection des identités et des documents sensibles des individus. Les identifiants administratifs exposés menaient à une plateforme de journalisation, qui contenait des liens vers des documents d’identité. Il y a même des raisons de soupçonner que des acteurs malintentionnés ont pu se procurer ces identifiants et les utiliser.
Des informations sensibles potentiellement compromises
Si ces données ont été compromises, elles auraient pu inclure le nom d’un utilisateur, sa date de naissance, sa nationalité, son numéro d’identité et des images de documents téléchargés. Autant d’informations qui pourraient permettre à un usurpateur d’identité de sévir. Des identifiants ont même été retrouvés sur un canal Telegram en mars 2023, selon les informations recueillies par 404 Media.
La réponse d’AU10TIX
En réponse à cette situation, AU10TIX a déclaré que les données étaient potentiellement accessibles, mais qu’il n’y avait aucune preuve qu’elles aient été exploitées. La société a également affirmé avoir informé les clients concernés et travailler à la mise en place d’un nouveau système d’exploitation plus orienté vers la sécurité.
L’avis de la rédaction
Il est crucial pour les entreprises de prendre toutes les mesures nécessaires pour protéger les données sensibles de leurs utilisateurs. Cette affaire souligne l’importance de la transparence et de l’efficacité dans la gestion des failles de sécurité. En espérant que ce cas serve de leçon pour renforcer les dispositifs de sécurité et éviter des incidents similaires à l’avenir.