TikTok, Uber ve X gibi popüler platformların yüz ve ehliyet fotoğraflarını işleyerek kimlik doğrulama hizmeti sağlayan AU10TIX şirketi, yönetici kimlik bilgilerinin çevrimiçi olarak ifşa edilmesiyle gündeme geldi. 404 Media tarafından ortaya çıkarılan bu durum, bilgisayar korsanlarının kimlik doğrulama hizmetindeki hassas kullanıcı verilerine bir yıldan fazla bir süre boyunca erişebilmesine yol açtı.
2002 yılında İsrail’in Hod HaSharon kentinde kurulan AU10TIX, yaş, adres ve biyometrik doğrulamadan deepfake tespitine kadar geniş bir yelpazede kimlik doğrulama hizmetleri sunuyor. Şirket, TikTok, X, Bumble, Uber ve Coinbasegibi büyük platformlarla iş birliği yaparak bu hizmetleri sağlıyor. Örneğin, X’te hesabınızı doğrulamak için hem bir selfie hem de devlet tarafından verilmiş bir kimlik sağlanması gerekiyor. AU10TIX bu resimleri kimliğinizi doğrulamak için kullanıyor ve bu verileri 30 güne kadar saklıyor.
Ancak, 404 Media’nın raporuna göre, Eylül 2022’de bir AU10TIX çalışanın kimlik bilgileri kötü amaçlı yazılım tarafından toplandı ve Mart 2023’te bir Telegram kanalında paylaşıldı. Bu kimlik bilgileri, isimler, doğum tarihleri, uyruklar, kimlik numaraları ve yüklenen belgelerin türü dahil olmak üzere birçok hassas kullanıcı verisine erişim sağlıyordu. Dahası, belgelerin kendi görüntülerine bağlantılar da mevcuttu; bu da bilgisayar korsanlarının sayısız sürücü belgesine erişebilmesi anlamına geliyordu.
AU10TIX, 404 Media ile temasa geçtikten bir hafta sonra yaptığı açıklamada, olayın 18 ay önce meydana geldiğinibelirtti. Şirket, kapsamlı bir soruşturma sonucunda çalışanların kimlik bilgilerinin yasadışı yollardan erişildiğinitespit ettiklerini ve bu bilgilerin derhal iptal edildiğini açıkladı. AU10TIX, soruşturmanın ardından kimlik bilgilerinin artık kullanıcı verilerine erişmek için kullanılamayacağını ifade etti.
Buna karşılık, spiderSilk baş güvenlik görevlisi Mossab Hussein, kimlik bilgilerinin bu ay itibariyle hala çalıştığınıbelirtti. 404 Media’nın bu bilgiyi paylaşmasının ardından AU10TIX yeni bir açıklama yaparak, potansiyel olarak erişilebilir PII (Kişisel Tanımlayıcı Bilgi) verilerine dair mevcut bulgulara dayanarak herhangi bir istismar kanıtı görmediklerini belirtti. Şirket, müşterilerinin güvenliğinin son derece önemli olduğunu ve bilgilendirildikleriniekledi.
AU10TIX, ilgili operasyonel sistemi hizmet dışı bırakarak yeni bir sistemle değiştirmeye ve güvenlik önlemlerini iyileştirmeye devam edeceğini duyurdu.
Kullanıcı verilerinin bu denli tehlikeye atılması, güvenlik önlemlerinin ne kadar kritik olduğunu bir kez daha gözler önüne seriyor. Büyük platformlar ve hizmet sağlayıcılar, kullanıcı verilerinin korunması adına daha sıkı tedbirler almalı ve olası ihlallerin önüne geçmek için proaktif adımlar atmalıdır.
