Comment une entreprise de vérification d’identité peut-elle laisser des informations si sensibles accessibles pendant plus d’une année? C’est la question que nous nous posons après avoir découvert qu’AU10TIX, une entreprise israélienne qui travaille pour TikTok, X (anciennement Twitter) et Uber, a laissé des identifiants administratifs exposés.
Selon Mossab Hussein, le directeur de la sécurité chez spiderSilk, cette entreprise n’a pas implémenté de mesures simples pour protéger les identités et les documents sensibles des utilisateurs. Comment une entreprise, spécialisée dans la vérification d’identité, peut-elle faire preuve d’une telle négligence?
D’après une enquête de 404 Media, ces identifiants exposés permettaient d’accéder à une plateforme de logs contenant des liens vers des documents d’identité. Pire encore, il semble que des pirates informatiques aient déjà utilisé ces identifiants, après avoir été récupérés par un malware en décembre 2022 et ensuite partagés sur une chaîne Telegram en mars 2023.
AU10TIX a déçu en ne prenant pas les mesures de sécurité nécessaires pour protéger les données sensibles de ses utilisateurs.
Mais que fait AU10TIX pour répondre à cette situation? L’entreprise affirme que les données étaient « potentiellement accessibles » mais qu’aucune preuve ne montre qu’elles ont été exploitées. Peuvent-ils réellement en être sûrs? Les clients concernés ont été informés et un nouveau système, davantage axé sur la sécurité, est en cours de mise en œuvre.
Certains partenaires ont changé de prestataire avant que ce problème n’éclate. Par exemple, Upwork utilise désormais un autre service. Cependant, X a signé avec AU10TIX en septembre dernier, utilisant des identifiants officiels pour la vérification de ses utilisateurs premium. D’autres entreprises, comme Fiverr et Coinbase, continuent de travailler avec AU10TIX et affirment ne pas être au courant de fuites de données.
Cette situation est-elle un cas isolé? Malheureusement non. La fuite de données sur Telegram ou le dark web est devenue une méthode courante pour les pirates. En mars dernier, plus de 73 millions de mots de passe d’AT&T ont été diffusés sur le dark web. D’autres entreprises comme LoanDepot et même le département de la Défense des États-Unis ont connu des incidents similaires.
Au fond, pourquoi une entreprise spécialisée dans la sécurité de l’identité aurait-elle de telles failles dans son propre système? Les utilisateurs peuvent-ils encore faire confiance à ces services pour protéger leurs données les plus sensibles?
Source : Engadget