Empresa de verificação de identidade esteve a expor dados sensíveis de utilizadores
Algumas das maiores plataformas sociais na internet podem ter estado, durante mais de um ano, a permitir o acesso a dados potencialmente sensíveis dos utilizadores, sendo que alguma dessa informação pode mesmo ter sido recolhida por utilizadores com intenções maliciosas.
Em causa encontra-se uma recente descoberta feita sobre uma entidade usada para a verificação de identidade de várias plataformas sociais, como a X, TikTok, LinkedIn, Coinbase, PayPal, Fiverr, Uber, entre outras.
A empresa AU10TIX, sediada em Tel Aviv, dedica-se à criação de sistemas de verificação de identidade. Esta empresa conta com vários clientes, entre os quais encontram-se algumas das maiores plataformas na internet, que a usam para validar a identidade dos seus utilizadores quando é necessário.
No entanto, um grupo de investigadores revelou recentemente ter descoberto que a empresa AU10TIX estaria a disponibilizar, via um dos seus sistemas, acesso a dados potencialmente sensíveis de utilizadores que usavam os seus sistemas para verificação de identidade.
Derivado de configurações incorretas aplicadas nos sistemas da empresa, estaria a permitir acesso a dados sensíveis dos clientes, que estavam armazenados nos sistemas internos da mesma.
Entre os dados acessíveis encontram-se nomes, datas de nascimento, nacionalidade, imagens dos documentos de identificação e outras informações pessoais, que eram usadas pela plataforma para verificação da identidade.
Muita da informação encontrava-se associada com plataformas como a X e Uber, que usam os sistemas da AU10TIX.
A piorar a situação, os investigadores acreditam existir a possibilidade de alguns dos dados terem sido recolhidos por terceiros e malware, e que podem ter sido partilhados em grupos do Telegram em 2023.
Em resposta, a AU10TIX indica ter realizado a investigação do incidente, e chegou à conclusão que os dados de um dos seus funcionários teriam sido comprometidos, e que poderá ter permitido o acesso a esta informação. No entanto, mesmo depois da empresa ter sido notificada do incidente, o acesso aos dados ainda estaria aberto e sem uma correção aplicada para prevenir de tal.