Durante más de un año, se han expuesto en línea numerosos datos personales y documentos de usuarios de algunas de las aplicaciones más populares del mundo. Esta filtración podría haber sido aprovechada por ciberdelincuentes hace tiempo.
La empresa responsable, AU10TIX, se encuentra en un suburbio de Tel Aviv y se especializa en la verificación de identidad mediante documentos personales, biometría y más. Entre sus clientes se encuentran grandes compañías como X, TikTok, LinkedIn, Coinbase, eToro, PayPal, Fiverr, Upwork, Bumble, Uber, entre otras.
Un investigador de seguridad descubrió recientemente credenciales expuestas que pertenecían a un gerente del centro de operaciones de red de AU10TIX. Estas credenciales incluían contraseñas y tokens para varias cuentas, incluyendo una plataforma de registro de AU10TIX, donde la empresa gestionaba datos de individuos cuyas identidades había verificado.
Los datos de la plataforma de registro incluían nombres, fechas de nacimiento, nacionalidades e imágenes de documentos de identidad como licencias de conducir y pasaportes. Aunque el investigador limitó su exploración, algunos campos de datos indicaban la naturaleza y el propósito de los datos almacenados, como un gráfico con valores como «Impersonation_XCorp» y «uber-carshare-passport.»
Además, se encontró información propietaria del interior de la tecnología de verificación de la empresa. Por ejemplo, una tabla contenía resultados de escaneos faciales en vivo, con un campo que calificaba la «probabilidad» de que la cara del usuario estuviera «viva» en una escala de 0 a 1. Otros campos medían la autenticidad de documentos y fotos de rostros.
Las credenciales expuestas parecen haber sido extraídas por malware en diciembre de 2022 y publicadas en Telegram en marzo de 2023. AU10TIX, en declaraciones a 404media, afirmó inicialmente que «una investigación exhaustiva determinó que las credenciales de los empleados fueron accedidas ilegalmente y rescindidas de inmediato». Sin embargo, al ser informada de que las credenciales seguían expuestas en línea 18 meses después, la empresa indicó que trabajaría para retirar el sistema de registro expuesto y aseguró haber notificado a los clientes afectados, destacando que «según nuestros hallazgos actuales, no vemos evidencia de que dichos datos hayan sido explotados.»
Actualmente, los usuarios se enfrentan a una elección desafortunada. Para utilizar aplicaciones populares, a menudo deben proporcionar información y documentos extremadamente sensibles para verificar su identidad, sin tener control sobre cómo se procesan y almacenan esos datos.
Según Jason Soroko, vicepresidente senior de producto en Sectigo, existen métodos para verificar identidades que minimizan la necesidad de almacenar documentos sensibles e información personal identificable. Una de estas técnicas es la tokenización, que implica almacenar tokens o valores hash que representan los documentos en lugar de los documentos reales, reduciendo el riesgo en caso de que el sistema de almacenamiento sea comprometido.
Otro método es el uso de pruebas de conocimiento cero, una técnica criptográfica que permite a una parte demostrar a otra que conoce un valor sin revelar ninguna información más allá del hecho de que conoce el valor. «Esto puede verificar la identidad sin exponer los datos reales», explica Soroko. Además, la verificación de identidad descentralizada utiliza tecnología blockchain, permitiendo a los usuarios controlar su información de identidad y compartir solo las partes necesarias con los servicios que requieren verificación, mejorando así la privacidad y la seguridad.
