S’il y a un type d’entreprise que vous ne voulez certainement pas voir exposé aux pirates informatiques, c’est bien un service de vérification d’identité avec accès à des documents d’identité avec photo comme les permis de conduire – mais c’est exactement ce qui semble s’être produit avec AU10TIX.
Les clients passés ou présents de la société de cybersécurité incluent PayPal, Coinbase, X, TikTok, Uber, LinkedIn, Upwork et Fiverr…
Entreprises de vérification d’identité
Il arrive parfois que les entreprises aient besoin d’identifier positivement leurs utilisateurs, par exemple pour se conformer aux réglementations en matière de blanchiment d’argent et permettre aux gens de récupérer leurs comptes. Une manière courante de procéder consiste à demander aux utilisateurs de télécharger une pièce d’identité avec photo, comme un permis de conduire ou un passeport.
Dans certains cas, les entreprises demandent par ailleurs une vidéo de l’utilisateur montrant son visage sous différents angles afin que celle-ci puisse être comparée à la photo d’identité et garantir qu’elle n’est pas tombée entre de mauvaises mains.
Un certain nombre de grandes entreprises choisissent de sous-traiter cette tâche à des sociétés externes, et AU10TIX, basée en Israël, est l’une des plus connues.
AU10TIX a exposé les informations d’identification de l’administrateur
404 Media rapporte qu’AU10TIX a exposé par inadvertance des informations d’identification d’administrateur qui ont permis l’accès au trésor de données personnelles d’un pirate informatique.
[AU10TIX] a exposé un ensemble d’informations d’identification administratives en ligne pendant plus d’un an, permettant potentiellement aux pirates d’accéder à ces données sensibles, selon des captures d’écran et des données obtenues par 404 Media. […]
L’ensemble des informations d’identification donnait accès à une plate-forme de journalisation, qui à son tour contenait des liens vers des données relatives à des personnes spécifiques qui avaient téléchargé leurs documents d’identité, a montré Hussein. Les informations accessibles comprennent le nom de la personne, sa date de naissance, sa nationalité, son numéro d’identification et le type de document téléchargé tel qu’un permis de conduire. Un lien ultérieur comprend alors une image du document d’identité lui-même ; certains d’entre eux sont des permis de conduire américains.
Les informations d’identification exposées semblent appartenir à un gestionnaire de réseau de l’entreprise.
404 Media a téléchargé ces informations d’identification et a découvert que le nom correspondait à celui d’une personne qui indique son rôle sur LinkedIn en tant que responsable du centre d’opérations réseau chez AU10TIX. Le fichier contenait une multitude de mots de passe et de jetons d’authentification pour divers services utilisés par l’employé, notamment les outils de Salesforce et Okta, ainsi que le service de journalisation lui-même.
Bien qu’elle ait été alertée du problème, l’entreprise n’a pas immédiatement bloqué l’accès.
404 Media a contacté AU10TIX pour la première fois pour commentaires le 13 juin. Environ une semaine plus tard, AU10TIX a déclaré que « l’incident que vous avez cité s’est produit il y a plus de 18 mois. Une enquête approfondie a déterminé que les informations d’identification des employés avaient alors été obtenues illégalement et ont été rapidement annulées. En réalité, les informations d’identification de la plateforme de journalisation fonctionnaient toujours ce mois-ci, a déclaré Hussein. Lorsque 404 Media a relayé cette information à AU10TIX, la société a alors déclaré qu’elle mettait hors service le système concerné, plus d’un an après la première exposition des informations d’identification sur Telegram.
La société affirme qu’aucune donnée personnelle n’a été obtenue, mais étant donné que les informations d’identification ont été partagées sur les canaux Telegram utilisés par des pirates informatiques et qu’elles fonctionnent depuis plus d’un an, cela semble discutable.
Image : collage Netcost-security.fr d’images de Wikimedia/CC4.0 et James Lee sur Unsplash
Envie de vous détendre un peu ? Voici un reportage très intéressant sur l’intelligence artificielle :
