TikTok ve X ile çalışan kimlik doğrulama hizmeti fena çuvalladı

Eğer kimlik bilgileri konusunda hizmet veren bir şirketseniz çok dikkatli ve profesyonel olmanız gerekir. Ünlü şirketlerin yöneticilerine kimlik hizmeti sunan bir firma hackerların yağına bal sürdü. 404 Media tarafından ortaya çıkarıldı. AU10TIX, kullanıcıların yüz fotoğrafları ve ehliyetlerini kullanarak kimlik doğrulama yapıyor, bu da potansiyel olarak bu bilgileri hacker’lara karşı savunmasız hale getiriyor.

Siber güvenlik firması SpiderSilk’in baş güvenlik görevlisi Mossab Hussein, bu durumu ilk fark eden kişi oldu ve bu olayın, kimlik doğrulama hizmeti sağlayıcısının basit güvenlik önlemlerini uygulamada başarısız olduğunu belirtti. Hussein, bu durumun insanların kimlikleri ve hassas belgeleri için büyük bir risk oluşturduğunu ifade etti.

Açıkta bırakılan yönetici kimlik doğrulama bilgileri, kimlik belgelerine bağlantılar içeren bir günlük platformuna erişim sağlıyordu. Kötü niyetli kişilerin bu kimlik bilgilerini ele geçirip kullanmış olabileceğine dair işaretler de mevcut. 404 Media’nın elde ettiği zaman damgaları ve mesajlara göre, bu bilgiler Aralık 2022’de bir zararlı yazılım tarafından ele geçirilmiş ve Mart 2023’te bir Telegram kanalında paylaşılmış. Bu bilgiler arasında AU10TIX’te Ağ Operasyon Merkezi Müdürü olarak görev yapan bir kişinin LinkedIn profilinde listelenen şifreler ve kimlik doğrulama jetonları bulunuyordu.

Eğer hacker’lar müşteri verilerine eriştiyse, bu veriler arasında kullanıcı adı, doğum tarihi, uyruk, kimlik numarası ve yüklenen belgelerin görüntüleri yer alır. Bu bilgiler, bir kimlik hırsızının ihtiyaç duyacağı tüm bilgileri içerir. Tek yapmaları gereken, bu kimlik bilgilerini ele geçirip sisteme giriş yaparak zarar vermeye başlamaktır.

AU10TIX, bu durumla ilgili bir açıklama yaparak, “verilerin potansiyel olarak erişilebilir olduğunu” ancak “bu verilerin kötüye kullanıldığına dair bir kanıt olmadığını” belirtti. Şirket, etkilenen müşterilerin bilgilendirildiğini ve daha fazla güvenlik odaklı yeni bir işletim sistemine geçileceğini duyurdu.

AU10TIX’in bazı ortakları, bu sorun ortaya çıkmadan önce kimlik doğrulama şirketlerini değiştirdi. Upwork sözcüsü, bir süredir farklı bir hizmet sağlayıcı ile çalıştıklarını belirtti. Ancak X, Eylül ayında AU10TIX ile anlaşma yaparak, premium kullanıcıları doğrulamak için devlet tarafından verilen kimlikleri kullanıyor. Fiverr ve Coinbase gibi diğer firmalar ise herhangi bir veri sızıntısının farkında olmadıklarını ancak hala AU10TIX ile çalıştıklarını açıkladı.

Müşteri verilerini Telegram veya dark web’de paylaşmak, hacker’ların en yaygın yöntemlerinden biri haline geldi. Mart ayı sonunda, 73 milyondan fazla AT&T şifresi dark web’e sızdırıldı. LoanDepot ve ABD Savunma Bakanlığı da bu yıl benzer sorunlar yaşadı.