При много популярни приложения потребителите трябва да предоставят лична информация, за да докажат самоличността си, а големият недостатък е, че нямат контрол върху начина, по който тази информация се обработва и съхранява.
Вече повече от година в интернет са изложени на показ множество лични данни и документи на потребители на най-популярните приложения в света, които може би са изтекли към киберпрестъпниците преди известно време.
Компанията, отговорна за изтичането, AU10TIX, е базирана в предградие на Тел Авив и е специализирана в проверка на самоличността чрез лични документи, биометрични данни и др. Сред клиентите ѝ са големи компании като X, TikTok, LinkedIn, Coinbase, eToro, PayPal, Fiverr, Upwork, Bumble, Uber и други.
Наскоро изследовател по сигурността откри изложени на риск идентификационни данни, които са принадлежали на мениджър на център за мрежови операции в AU10TIX. Те включваха паролите и токените на мениджъра за различни акаунти, включително платформа за регистриране на AU10TIX, където компанията е обработвала данни, принадлежащи на лица, чиято самоличност е проверявала.
Данните от платформата за регистриране на данни са включвали имена, дати на раждане, националност и изображения на документи за самоличност, като шофьорски книжки и паспорти.
Въпреки че изследователят ограничил шпионирането си, някои полета с данни изглежда показвали естеството и целта на съхраняваните данни, като например таблица със стойности като „Impersonation_XCorp“ и „uber-carshare-passport“.
Той открил и патентовани данни от вътрешността на технологията за проверка на компанията. Една таблица например съдържала резултати от сканиране на лица на живо, като в полето се оценявала „вероятността“ лицето на потребителя да е „живо“ по скала от 0 до 1. Други измерват автентичността на документи и снимки на лица.
От решаващо значение е, че разкритите идентификационни данни изглежда са били засмукани от зловреден софтуер още през декември 2022 г. и публикувани в Telegram през март 2023 г.
В изявления до 404media AU10TIX първоначално твърди, че „задълбочено разследване установи, че тогава е имало незаконен достъп до идентификационните данни на служителите и те са били незабавно отменени“. Когато публикацията информира доставчика, че идентификационните данни все още са изложени онлайн към този месец, 18 месеца след факта, компанията заяви, че ще работи за сваляне на изложената система за регистриране. Тя също така твърди, че е уведомила засегнатите клиенти, и подчерта, че „въз основа на настоящите ни констатации не виждаме доказателства, че тези данни са били използвани“.
Клиентите днес са изправени пред неудачен избор (ако изобщо може да се счита за избор). Независимо дали става въпрос за криптовалута или плащания, социални медии или запознанства, за да използвате популярните днес приложения, често трябва да предадете изключително чувствителна информация и документи, които доказват самоличността ви. В същото време нямате никакъв контрол върху начина, по който тази информация и тези документи се обработват и съхраняват.
Няма ли начин да се постигне сигурност на приложенията, без това да се отрази на личната сигурност?
„Компаниите могат да възприемат няколко метода за проверка на самоличността, които свеждат до минимум необходимостта от съхраняване на чувствителни документи и лична информация“, казва Джейсън Сороко, старши вицепрезидент по продуктите в Sectigo. „Един от подходите е токенизацията, която включва съхраняване на токени или хеширани стойности, представляващи документите, вместо действителните документи. Това намалява риска в случай, че системата за съхранение е компрометирана.“
„Друг метод използва доказателства за нулево знание – криптографска техника, която позволява на една страна да докаже на друга, че знае дадена стойност, без да предава никаква информация освен факта, че знае стойността. „По този начин може да се провери самоличността, без да се разкриват действителните данни“, обяснява Сороко. „Освен това децентрализираната проверка на самоличността използва блокчейн технологията, което позволява на потребителите да контролират информацията за своята самоличност и да споделят само необходимите части с услуги, които изискват проверка, като по този начин повишават поверителността и сигурността.
„Тези методи, макар и да повишават сигурността и неприкосновеността на личния живот, изискват внимателно прилагане и постоянно управление, за да се избегне въвеждането на нови уязвимости.“
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.