Una firma de verificación de identidad expone durante un año credenciales administrativas que llevan a datos sensibles

AU10TIX es una empresa de origen israelí que ofrece soluciones de verificación de identidad en tiempo real, un producto que ha visto crecer la demanda en los últimos años con los esfuerzos de las plataformas digitales por asegurar la identidad y la edad de sus usuarios.

Según informan en 404Media, esta empresa ha tenido expuestas durante más de un año un conjunto de credenciales administrativas que permitían iniciar sesión en una plataforma que incluía enlaces a documentos de identidad, como el carnet de conducir, que se usaban para el proceso de verificación.

Se sospecha que actores de amenazas han usado estas credenciales y accedido a datos sensibles, como nombre, fecha de nacimiento, fotografía, nacionalidad y número de identificación, según documentos obtenidos por el medio citado, que recogen en Engadget. Las credenciales se habrían obtenido con un 'malware' en diciembre de 2022 y posteriormente compartido en un canal de Telegram, en marzo de 2023.

AU10TIX ha reconocido en un comunicado que los datos eran potencialmente accesibles, pero ha negado que hayan sido usados por parte de actores maliciosos. También ha informado de que están cambiando el sistema operativo y de que han notificado lo ocurrido a los afectados.

Entre los clientes, actuales y antiguos, se encuentran servicios digitales como TikTok, X, Uber, LinkedIn, PayPal y Coinbase. Algunos de ellos dejaron de usar a las soluciones de este proveedor antes de que ocurriera la brecha de seguridad, según 404Media.