TikTok, Uber ve X’in kullandığı kimlik doğrulama hizmetinde ehliyetler ifşa oldu

 (404media.co)
1 puan yazan GN⁺ 2024-06-28 | 1 yorum | WhatsApp'ta paylaş

AU10TIX’in güvenlik sorunu

  • TikTok, Uber ve X kullanıcılarının kimliğini doğrulayan şirket AU10TIX, yönetici kimlik bilgilerini bir yıldan uzun süre çevrimiçi şekilde açıkta bıraktı
  • AU10TIX, yüz fotoğrafları ve sürücü belgesi fotoğraflarını işleyerek kimlik doğrulaması yapıyor
  • İsrail merkezli AU10TIX, web sitesinde "tam hizmet kimlik doğrulama çözümü" sunduğunu belirtiyor
  • Kimlik belgesi doğrulama, gerçek zamanlı video akışında "canlılık tespiti" ve yaş tahmini gibi hizmetler sunuyor
  • Fiverr, PayPal, Coinbase, LinkedIn ve Upwork logoları web sitesinde yer alıyor; bunların bazılarının AU10TIX’in mevcut ya da eski müşterileri olduğu doğrulandı

Kimlik doğrulama hizmetlerinin önemi ve güvenlik sorunu

  • Daha fazla sosyal ağ ve porno sitesi, kimlik veya yaş doğrulama modeline geçiyor
  • Kullanıcıların belirli hizmetlere erişmek için gerçek kimlik belgelerini yüklemesi gerekiyor
  • Bu sızıntı, kimlik doğrulama hizmetlerinin kendisinin de hackerların hedefi olabileceğini vurguluyor
  • Bir siber güvenlik araştırmacısı, verileri yaymadan doğrulama amacıyla 404 Media’ya ekran görüntüleri ve bazı veriler sağladı

GN⁺ görüşü

  • Bu olay, kimlik doğrulama hizmetlerindeki güvenlik zafiyetlerini gösteriyor
  • Kimlik doğrulama hizmetleri giderek daha fazla web sitesinde zorunlu hale geldikçe, güvenliğin güçlendirilmesi kritik önem taşıyor
  • AU10TIX gibi şirketlerin güvenlik olaylarını önlemek için daha güçlü güvenlik önlemleri alması gerekiyor
  • Benzer işlevler sunan diğer hizmetler arasında Jumio ve Onfido bulunuyor
  • Yeni teknolojiler veya açık kaynak benimsenirken güvenlik ve gizlilik en yüksek öncelik olmalı

İlgili okumalar

1 yorum

 
GN⁺ 2024-06-28
Hacker News görüşleri

  • Şirket, kimlik bilgilerinin sızdığını 18 ay önce tespit edip düzelttiğini iddia etti, ancak sızan kimlik bilgileri bir ay öncesine kadar hâlâ çalışıyordu

    • Bu düzeyde bir yönetim ve yetkinliğin bu alandaki tedarikçiler için ne kadar yaygın olduğunu merak ediyorum
    • Sigorta yoluyla uzmanlar tutup bu tür sorunları düzgün şekilde çözmeleri gerektiğini düşünüyorum

  • Veri ihlali kaçınılmaz bir sonuçtu

    • Teknolojiden biraz anlayan, ilkeli bir avukat eninde sonunda bu şirketleri sorumlu tutacaktır
    • Diğer şirketler bunu görüp hukuki sorumluluktan kaçınmaya çalışacaktır, ama bazıları daha sorumlu davranmaya başlayacaktır

  • Danimarka hükümetinin çevrimiçi kimlik çözümü (MitID) için giderek daha fazla minnet duyuyorum

    • Mükemmel değil, ama PII ifşa etmeden kimlik doğrulaması yapılabiliyor
    • ABD'nin de standartlaştırılmış, güvenli bir çevrimiçi kimlik çözümüne ihtiyacı olduğunu düşünüyorum

  • eToro, Coinbase ve Payoneer gibi müşteri listesini görünce şaşırdım

    • Bilgilerimin sızıp sızmadığını kontrol etmenin bir yolu olup olmadığını merak ediyorum
    • Ehliyet fotoğrafı, bazı eyalet yasalarına göre biyometrik bilgi sayılabilir

  • Alan adı kayıt kuruluşunun MFA uygulamasını kaybettikten sonra böyle bir hizmet kullanmıştım

    • Ehliyetimin o şirketin S3 bucket'ından sızmış olma ihtimali var
    • Sonrasında MFA'yı yeniden etkinleştirmem için gelen e-postalar can sıkıcıydı

  • Bunun sonunda yazılım geliştirmenin belirli işleri için yasal olarak zorunlu mesleki lisansa yol açacağını düşünüyorum

    • PII ile çalışan bir iş koluysa, gerçek mühendislik gerekir ve o mühendislerin sertifikalı olması gerekir
    • Lisans olursa yönetici veya C-level baskısına karşı durmak daha kolay olur
    • Lisans, nitelikli çalışanlara işleri doğru yapabilmeleri için kaldıraç sağlar

  • Bu durum bir Orwell kabusu gibi hissettiriyor

    • TikTok ve X gibi hizmetlerin kimlik doğrulaması istememesi gerektiğini düşünüyorum

  • ABD vatandaşlarının biyometrik verilerinin neden İsrail'e gönderildiğini merak ediyorum

    • Hassas bilgilerin ABD'deki veri merkezlerinden çıkmasına dair yasalar yok mu diye düşünüyorum

  • PII verilerine potansiyel olarak erişilebildiğini, ancak şu ana kadar bu verilerin kötüye kullanıldığına dair bir kanıt olmadığını iddia ediyorlar

    • Muhabir verilere erişip PII'yi doğruladıysa, bu iddia nasıl mümkün olabilir diye merak ediyorum
    • "Kanıt görmedik" ifadesini "Aslında gerçekten bakmadık" şeklinde yorumluyorum