Empresa dedicada a la verificación de identidad, que ha tenido contratos con grandes empresas de tecnología como Uber, X, Tiktok, Paypal o LinkedIn, dejó expuesta una serie de credenciales de inicio de sesión desde donde se podía obtener información sensible de personas usuarias de esas plataformas, informó 404 Media.
AU10TIX es la empresa en cuestión y es conocida por ofrecer servicios de verificación de identidad y de inicio de sesión. Para hacerlo, pide una serie de datos que hacen identificable a una persona, como selfies y fotografías de documentos de identidad expedidos por el gobierno.
En el caso de X, esta verificación de identidad se utilizó cuando Elon Musk comenzó a implementar las cuentas premium, en ese momento la plataforma pedía vincular una cuenta a una persona real mediante el procesamiento de su identificación oficial, esto como un intento de luchar contra los intentos de suplantación de identidad en la plataforma.
Si bien estos datos podrían ayudar a una empresa a confirmar que un usuario es una persona real y no un bot, se puede convertir en un riesgo de seguridad que amenaza la privacidad de las personas cuando ocurren filtraciones como ésta, donde una brecha de seguridad expone datos sensibles que pueden estar a la mano de cualquiera en internet.
Según el medio, esta filtración de datos empezó cuando las credenciales de inicio de sesión de un empleado de AU10TIX fueron recogidas por un malware en 2022, estas credenciales permitían entrar en una plataforma de registro, donde eran visibles datos relacionados con los usuarios de algunas plataformas con las que trabajaba la empresa.
La información accesible incluye el nombre completo de la persona, su fecha de nacimiento, nacionalidad, número de identificación y el tipo de documento cargado, incluyendo una imagen del propio documento, donde muchas de las ocasiones eran licencias de conducir en Estados Unidos.
Imagen: (CC-BY) Gibrán Aquino