X・TikTok・Uberなどが使う顔写真と運転免許証によるID認証サービス「Au10tix」が1年以上オンラインで管理者の資格情報を公開しっぱなしだったことが発覚

X(旧Twitter)やTikTok、Uberなどの企業は、Au10tixが提供する、身分証明書の画像と自撮り画像を使ったユーザー検証システムを導入しています。しかし、Au10tixが2022年12月から1年以上にわたって管理者の資格情報を公開し続けており、ユーザーの名前や生年月日、国籍などの情報に誰でもアクセスできたことが指摘されています。

ID Verification Service for TikTok, Uber, X Exposed Driver Licenses
https://www.404media.co/id-verification-service-for-tiktok-uber-x-exposed-driver-licenses-au10tix/

An ID verification service that works with TikTok and X left its credentials wide open for a year
https://www.engadget.com/an-id-verification-service-that-works-with-tiktok-and-x-left-its-credentials-wide-open-for-a-year-171258438.html

ID Verification Company Partnered With X Suffered Data Leak, Report Claims
https://reclaimthenet.org/id-verification-company-partnered-with-x-suffered-data-leak-report-claims

イスラエルに拠点を置くAu10tixは「人間の作業を必要としないたった8秒の検証」「合成詐欺パターンを検出する世界初の技術」などをアピールする身元検証サービス企業で、これまでGoogleやPayPal、Uberといった企業とも協力した事例があるほか、Xは2023年9月から有料サブスクリプションサービスのBlueにおけるユーザーのなりすまし対策としてAu10tixのユーザー検証システムを採用しています。

Xがユーザーの学歴・職歴と生体情報の収集開始を予告 - GIGAZINE

しかし、2022年12月にAu10tixのシステムにマルウェアが感染。管理者の資格情報が漏えいすることになりました。さらに、2023年3月にはこの資格情報はTelegramにも公開され、海外メディアの404 Mediaは「Au10tixの社員に関連する数多くのパスワードと認証トークンが確認されました。この社員は、LinkedIn上でネットワークオペレーションセンターマネージャーとして記載されています」と報告しています。

ハッカーがこの資格情報を手にすると、ユーザーの名前や生年月日、国籍、ID、免許証などのアップロードされたドキュメントの画像など、あらゆる顧客データが漏えいすることになります。

Au10tixは「資格情報を含むデータには潜在的にアクセス可能でしたが、これまでのところそのようなデータが悪用された事実は確認されていません」との声明を発表。また「現在のオペレーティングシステムを廃止し、セキュリティに重点を置いた新しいオペレーティングシステムを採用することを顧客に対して通知済みです」と述べています。

一連の騒動を受けて、一部のパートナーは検証会社を切り替えており、Au10tixの身元検証システムを導入するUpworkの広報担当者は「すでに別のサービスプロバイダーと協力しています」と報告しました。なお、XやFiverr、Coinbaseなどは引き続きAu10tixのシステムを導入しています。

一方、サイバーセキュリティ企業のspiderSilkで最高セキュリティ責任者を務めるモサブ・フセイン氏は「機密性の高いIDを委託されるID検証サービスプロバイダーであるAu10tixは、ユーザーのIDを保護するための簡単な対策すら実施できませんでした」と批判しています。