TikTok, Uber, X की ID verification service में exposed ड्राइविंग लाइसेंस

 (404media.co)
1 पॉइंट द्वारा GN⁺ 2024-06-28 | 1 टिप्पणियां | WhatsApp पर शेयर करें

AU10TIX की सुरक्षा समस्या

  • TikTok, Uber और X उपयोगकर्ताओं की पहचान सत्यापित करने वाली कंपनी AU10TIX ने 1 साल से अधिक समय तक administrative credentials ऑनलाइन exposed रखीं
  • AU10TIX चेहरे की फोटो और driving license की तस्वीरों को process करके identity verify करती है
  • Israel-आधारित AU10TIX अपनी वेबसाइट पर इसे "full-service identity verification solution" बताती है
  • यह identity document verification, real-time video stream में "liveness detection", age estimation जैसी सेवाएँ देती है
  • वेबसाइट पर Fiverr, PayPal, Coinbase, LinkedIn, Upwork आदि के लोगो शामिल हैं, और इनमें से कुछ ने पुष्टि की कि वे AU10TIX के वर्तमान या पूर्व ग्राहक हैं

identity verification services का महत्व और सुरक्षा समस्या

  • अधिक social network और porn site identity या age verification model की ओर बढ़ रहे हैं
  • उपयोगकर्ताओं को कुछ सेवाओं तक पहुँचने के लिए वास्तविक identity documents upload करने पड़ते हैं
  • यह incident दिखाता है कि identity verification services खुद भी hackers का target बन सकती हैं
  • एक cyber security researcher ने data distribute किए बिना verification के लिए 404 Media को screenshots और कुछ data उपलब्ध कराया

GN⁺ की राय

  • यह घटना identity verification services की security vulnerability को दिखाती है
  • जैसे-जैसे अधिक websites पर identity verification service की माँग बढ़ रही है, security को मजबूत करना अनिवार्य है
  • AU10TIX जैसी कंपनियों को security incidents रोकने के लिए अधिक सख्त security measures अपनाने चाहिए
  • इसी तरह की functionality देने वाली अन्य services में Jumio, Onfido आदि शामिल हैं
  • नई technology या open source अपनाते समय security और privacy protection को सर्वोच्च प्राथमिकता देनी चाहिए

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 2024-06-28
Hacker News की राय

  • कंपनी ने दावा किया कि उसने 18 महीने पहले credentials leak का पता लगाकर उसे ठीक कर लिया था, लेकिन लीक हुए credentials एक महीने पहले तक भी काम कर रहे थे

    • सोचता हूँ कि क्या इस स्तर का प्रबंधन और परिपक्वता इस क्षेत्र के vendors में आम है
    • मेरा मानना है कि insurance के जरिए विशेषज्ञों को नियुक्त करके ऐसे मुद्दों को सही तरह से हल किया जाना चाहिए

  • डेटा लीक तो होना ही था

    • तकनीक की थोड़ी समझ रखने वाला कोई सिद्धांतनिष्ठ वकील आखिरकार ऐसी कंपनियों को जवाबदेह ठहराएगा
    • दूसरी कंपनियाँ यह देखकर कानूनी जिम्मेदारी से बचने की कोशिश करेंगी, लेकिन कुछ जिम्मेदारी से व्यवहार करना शुरू करेंगी

  • डेनमार्क सरकार के online ID solution (MitID) के लिए मेरे मन में लगातार अधिक सराहना बढ़ रही है

    • यह परफेक्ट नहीं है, लेकिन PII उजागर किए बिना identity verification कर सकता है
    • मेरा मानना है कि अमेरिका को भी एक standardized और secure online ID solution की ज़रूरत है

  • eToro, Coinbase, Payoneer जैसे ग्राहकों की सूची देखकर हैरानी हुई

    • सोच रहा हूँ कि क्या यह जाँचने का कोई तरीका है कि मेरी जानकारी लीक हुई है या नहीं
    • कुछ राज्यों के कानूनों के तहत driving license की फोटो को biometric information माना जा सकता है

  • domain registrar का MFA app खोने के बाद मैंने ऐसी सेवा का इस्तेमाल किया था

    • संभव है कि उस कंपनी के S3 bucket से मेरा driving license लीक हुआ हो
    • उसके बाद MFA फिर से activate करने के लिए आने वाले emails बहुत परेशान करने वाले थे

  • मुझे लगता है कि ऐसी स्थिति आखिरकार software development के कुछ खास कामों के लिए कानूनी रूप से अनिवार्य professional licensing तक ले जाएगी

    • अगर कोई business PII संभालता है, तो वहाँ वास्तविक engineering की ज़रूरत होती है, और उन engineers को certified होना चाहिए
    • license होने पर managers या C-suite के दबाव का सामना करना आसान हो जाता है
    • license होने से skilled workers को सही तरीके से काम करने के लिए leverage मिलता है

  • यह स्थिति किसी Orwellian nightmare जैसी लगती है

    • मेरा मानना है कि TikTok और X जैसी सेवाओं को identity verification की मांग नहीं करनी चाहिए

  • समझ नहीं आता कि अमेरिकी नागरिकों की biometric information Israel क्यों भेजी जा रही है

    • हैरानी है कि क्या sensitive information के US data centers से बाहर जाने को लेकर कोई कानून नहीं है

  • उनका दावा है कि PII data तक संभावित रूप से पहुँचा जा सकता था, लेकिन अब तक ऐसे data के दुरुपयोग का कोई सबूत नहीं मिला है

    • जब पत्रकार ने data तक पहुँचकर PII की पुष्टि कर ली, तो ऐसा दावा कैसे किया जा सकता है, यह समझ से बाहर है
    • "हमें कोई सबूत नहीं मिला" का अर्थ मुझे अक्सर "हमने सच में ढूँढा ही नहीं" जैसा लगता है