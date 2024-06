X(旧Twitter)やTikTok、Uberなどの企業は、Au10tixが提供する、身分証明書の画像と自撮り画像を使ったユーザー検証システムを導入しています。しかし、Au10tixが2022年12月から1年以上にわたって管理者の資格情報を公開し続けており、ユーザーの名前や生年月日、国籍などの情報に誰でもアクセスできたことが指摘されています。ID Verification Service for TikTok, Uber, X Exposed Driver Licenses

イスラエルに拠点を置くAu10tixは「人間の作業を必要としないたった8秒の検証」「合成詐欺パターンを検出する世界初の技術」などをアピールする身元検証サービス企業で、これまでGoogleやPayPal、Uberといった企業とも協力した事例があるほか、Xは2023年9月から有料サブスクリプションサービスのBlueにおけるユーザーのなりすまし対策としてAu10tixのユーザー検証システムを採用しています。Xがユーザーの学歴・職歴と生体情報の収集開始を予告 - GIGAZINEしかし、2022年12月にAu10tixのシステムにマルウェアが感染。管理者の資格情報が漏えいすることになりました。さらに、2023年3月にはこの資格情報はTelegramにも公開され、海外メディアの404 Mediaは「Au10tixの社員に関連する数多くのパスワードと認証トークンが確認されました。この社員は、LinkedIn上でネットワークオペレーションセンターマネージャーとして記載されています」と報告しています。ハッカーがこの資格情報を手にすると、ユーザーの名前や生年月日、国籍、ID、免許証などのアップロードされたドキュメントの画像など、あらゆる顧客データが漏えいすることになります。Au10tixは「資格情報を含むデータには潜在的にアクセス可能でしたが、これまでのところそのようなデータが悪用された事実は確認されていません」との声明を発表。また「現在のオペレーティングシステムを廃止し、セキュリティに重点を置いた新しいオペレーティングシステムを採用することを顧客に対して通知済みです」と述べています。一連の騒動を受けて、一部のパートナーは検証会社を切り替えており、Au10tixの身元検証システムを導入するUpworkの広報担当者は「すでに別のサービスプロバイダーと協力しています」と報告しました。なお、XやFiverr、Coinbaseなどは引き続きAu10tixのシステムを導入しています。一方、サイバーセキュリティ企業のspiderSilkで最高セキュリティ責任者を務めるモサブ・フセイン氏は「機密性の高いIDを委託されるID検証サービスプロバイダーであるAu10tixは、ユーザーのIDを保護するための簡単な対策すら実施できませんでした」と批判しています。