Търсене
Close this search box.

При много популярни приложения потребителите трябва да предоставят лична информация, за да докажат самоличността си, а големият недостатък е, че нямат контрол върху начина, по който тази информация се обработва и съхранява.

Вече повече от година в интернет са изложени на показ множество лични данни и документи на потребители на най-популярните приложения в света, които може би са изтекли към киберпрестъпниците преди известно време.

Компанията, отговорна за изтичането, AU10TIX, е базирана в предградие на Тел Авив и е специализирана в проверка на самоличността чрез лични документи, биометрични данни и др. Сред клиентите ѝ са големи компании като X, TikTok, LinkedIn, Coinbase, eToro, PayPal, Fiverr, Upwork, Bumble, Uber и други.

Наскоро изследовател по сигурността откри изложени на риск идентификационни данни, които са принадлежали на мениджър на център за мрежови операции в AU10TIX. Те включваха паролите и токените на мениджъра за различни акаунти, включително платформа за регистриране на AU10TIX, където компанията е обработвала данни, принадлежащи на лица, чиято самоличност е проверявала.

Обхват на щетите

Данните от платформата за регистриране на данни са включвали имена, дати на раждане, националност и изображения на документи за самоличност, като шофьорски книжки и паспорти.

Въпреки че изследователят ограничил шпионирането си, някои полета с данни изглежда показвали естеството и целта на съхраняваните данни, като например таблица със стойности като „Impersonation_XCorp“ и „uber-carshare-passport“.

Той открил и патентовани данни от вътрешността на технологията за проверка на компанията. Една таблица например съдържала резултати от сканиране на лица на живо, като в полето се оценявала „вероятността“ лицето на потребителя да е „живо“ по скала от 0 до 1. Други измерват автентичността на документи и снимки на лица.

От решаващо значение е, че разкритите идентификационни данни изглежда са били засмукани от зловреден софтуер още през декември 2022 г. и публикувани в Telegram през март 2023 г.

В изявления до 404media AU10TIX първоначално твърди, че „задълбочено разследване установи, че тогава е имало незаконен достъп до идентификационните данни на служителите и те са били незабавно отменени“. Когато публикацията информира доставчика, че идентификационните данни все още са изложени онлайн към този месец, 18 месеца след факта, компанията заяви, че ще работи за сваляне на изложената система за регистриране. Тя също така твърди, че е уведомила засегнатите клиенти, и подчерта, че „въз основа на настоящите ни констатации не виждаме доказателства, че тези данни са били използвани“.

Параграф 22 за потребителите на приложения

Клиентите днес са изправени пред неудачен избор (ако изобщо може да се счита за избор). Независимо дали става въпрос за криптовалута или плащания, социални медии или запознанства, за да използвате популярните днес приложения, често трябва да предадете изключително чувствителна информация и документи, които доказват самоличността ви. В същото време нямате никакъв контрол върху начина, по който тази информация и тези документи се обработват и съхраняват.

Няма ли начин да се постигне сигурност на приложенията, без това да се отрази на личната сигурност?

„Компаниите могат да възприемат няколко метода за проверка на самоличността, които свеждат до минимум необходимостта от съхраняване на чувствителни документи и лична информация“, казва Джейсън Сороко, старши вицепрезидент по продуктите в Sectigo. „Един от подходите е токенизацията, която включва съхраняване на токени или хеширани стойности, представляващи документите, вместо действителните документи. Това намалява риска в случай, че системата за съхранение е компрометирана.“

„Друг метод използва доказателства за нулево знание – криптографска техника, която позволява на една страна да докаже на друга, че знае дадена стойност, без да предава никаква информация освен факта, че знае стойността. „По този начин може да се провери самоличността, без да се разкриват действителните данни“, обяснява Сороко. „Освен това децентрализираната проверка на самоличността използва блокчейн технологията, което позволява на потребителите да контролират информацията за своята самоличност и да споделят само необходимите части с услуги, които изискват проверка, като по този начин повишават поверителността и сигурността.

„Тези методи, макар и да повишават сигурността и неприкосновеността на личния живот, изискват внимателно прилагане и постоянно управление, за да се избегне въвеждането на нови уязвимости.“

 

Източник: DARKReading

Подобни публикации

12 октомври 2024

SOC: Инструментите за откриване на заплахи ни з...

Специалистите от оперативните центрове за сигурност (SOC) изпитват ...
11 октомври 2024

Новата актуализация на GitLab отстранява осем у...

В четвъртък (В България петък през нощта) GitLab обяви нов кръг от ...
11 октомври 2024

Атаките LotL: Предизвикателството и WatchGuard ...

В областта на киберсигурността все по-трудно се откриват атаки от т...
11 октомври 2024

Киберсигурността - стълбът за защита на нашия свят

Октомври е не само първият месец на есента, но и Месецът на киберси...
11 октомври 2024

31 милиона потребители са засегнати от хакерска...

Интернет архивът потвърди, че е бил хакнат и е претърпял нарушение ...
11 октомври 2024

LLM с изкуствен интелект, подобряващи лова на з...

Стартъпът за киберсигурност Simbian пусна на пазара три AI агента L...
11 октомври 2024

Предизвикателствата в областта на сигурността п...

Какви са приоритетите на CISO и лидерите по сигурността в сравнение...
Бъдете социални
Още по темата
08/10/2024

Как технологията ACR на Sam...

Смарт телевизорите на големи производители като...
18/09/2024

BlackCloak набира 17 милион...

Фирмата за киберсигурност и защита на...
16/09/2024

Отборите от NFL блокират ки...

През изминалия уикенд Националната футболна лига...
Последно добавени
12/10/2024

SOC: Инструментите за откри...

Специалистите от оперативните центрове за сигурност...
11/10/2024

Новата актуализация на GitL...

В четвъртък (В България петък през...
11/10/2024

Атаките LotL: Предизвикател...

В областта на киберсигурността все по-трудно...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!