Bocor, Data Verifikasi Wajah dan Identitas yang Dipakai TikTok dan X
- Sebuah perusahaan yang membantu TikTok, Uber, dan X memverifikasi identitas penggunanya dengan memproses foto wajah dan identitas surat izin mengemudi (SIM) dilaporkan mengalami kebocoran data.
Perusahaan tersebut adalah AU10TIX yang berbasis di Hod HaSharon, Israel. Didiirikan pada 2002, AU10TIX menggambarkan dirinya sebagai “perusahaan pertama di dunia untuk solusi verifikasi identitas” dan menawarkan berbagai layanan, mulai dari verifikasi usia, alamat, dan verifikasi biometrik, hingga deteksi deepfake.
AU10TIX telah bermitra dengan beberapa perusahaan besar, seperti TikTok, X, Bumble, Uber, dan Coinbase.
Misalnya, di X, pengguna harus memberikan foto selfie dan tanda pengenal (ID) yang dikeluarkan pemerintah untuk memverifikasi akun alias mendapatkan centang biru (verified account).
Baca juga: iPhone Belasan Pejabat RI Dilaporkan Disusupi Software Mata-mata Buatan Israel
Keterbukaan informasi soal penggunaan layanan pihak ketiga AU10TIX untuk verifikasi ID di X bisa dilihat di laman berikut ini.
AP/ Noah Berger Logo X dengan lampu LED putih terang, dipasang di atap kantor pusat X (dulu Twitter), yang berlokasi di 1355 Market Street, San Francisco, California, Amerika Serikat.
Gara-gara kredensial karyawan dicuri
AU10TIX menggunakan gambar tersebut untuk mengonfirmasi identitas pengguna dan menyimpan data tersebut hingga 30 hari.
Menurut laporan 404 Media, data verifikasi pengguna yang disimpan itu bocor karena serangan malware pada karyawan AU10TIX pada September 2022. Dari serangan itu, hacker mendapatkan kredensial (username dan password) karyawan AU10TIX dan dibagikan di saluran Telegram pada bulan Maret 2023.
Baca juga: TikTok Dikabarkan Bikin Chip AI Sendiri, Gandeng Perusahaan AS
Kredensial tersebut akan digunakan untuk mengakses platform logging yang berisi banyak data pengguna, termasuk nama, tanggal lahir, kebangsaan, nomor ID, dan jenis dokumen yang diunggah pengguna dari platform klien.
Kredensial juga dapat mengakses tautan ke gambar dokumen pribadi yang dikumpulkan untuk proses verifikasi. Artinya, hacker bisa saja melihat surat izin mengemudi banyak pengguna.
AU10TIX mengindikasikan bahwa pihaknya sudah melakukan investigasi menyeluruh dan segera mencabut kredensial yang dicuri hacker.
“Insiden yang Anda kutip terjadi lebih dari 18 bulan yang lalu. Investigasi menyeluruh menentukan bahwa kredensial karyawan diakses secara ilegal dan segera dicabut,” kata AU10TIX ke 404 Media.
AU10TIX menyiratkan bahwa kredensial tidak lagi dapat digunakan untuk mengakses data pengguna setelah penyelidikan.
Namun, kepala keamanan spiderSilk, Mossab Hussein, yang pertama kali memberi tahu 404 Media tentang pelanggaran tersebut, mengatakan bahwa kredensial tersebut masih berfungsi hingga Juni 2024 ini.
"Meskipun data PII berpotensi dapat diakses, berdasarkan temuan kami saat ini, kami tidak melihat bukti bahwa data tersebut telah dieksploitasi. Keamanan pelanggan kami adalah yang paling penting, dan mereka telah diberitahu," kata AU10TIX dalam pernyataan terbarunya.
Perusahaan verifikasi ID yang digunakan oleh X itu menambahkan bahwa mereka akan terus menonaktifkan sistem operasional terkait, menggantinya dengan sistem baru, dan meningkatkan langkah-langkah keamanan.
Platform yang menggunakan layanan verifikasi AU10TIX seperti TikTok, X, Bumble, Uber, dan Coinbase belum memberikan komentarnya soal temuan ini, sebagaimana dihimpun KompasTekno dari BGR, Senin (1/7/2024).
Terkini Lainnya
- Xiaomi Umumkan HyperOS 2, Ini Fitur Barunya
- Apple Rilis Chip M4 Pro, Bawa "Core" Lebih Banyak dan Lebih Ngebut
- Tablet Xiaomi Pad 7 dan Pad 7 Pro Resmi, Punya Layar 3.2K dan Refresh Rate 144 Hz
- Xiaomi 15 Pro Resmi, Smartphone Flagship dengan Kamera Periskop 5x
- Xiaomi 15 Resmi Dirilis, Smartphone Pertama dengan Chip Snapdragon 8 Elite
- Smartwatch Ini Pakai Teknologi Apple, Didenda Rp 4 Juta
- Banyak Orang Punya Second Account di Media Sosial, Kenapa?
- Fitur Baru WhatsApp, Ada Tombol Zoom Kamera di Dalam Aplikasi Langsung
- Game "Call of Duty: Black Ops 6" Sukses di Steam, Lewati PUBG dan GTA V
- 7 Momen di Final MPL S14: dari Rekor "Peak Viewers" hingga Debut "Widy" Jadi MVP
- 178 HP Xiaomi, Redmi dan Poco yang Tidak Dapat Update OS Lagi
- Arti Kata "Vibes" Bahasa Slang yang Sering Muncul di Media Sosial
- ATS E-Sports Juara Kompetisi MLBB Samsung Galaxy Academy
- Magic Mouse Apple Kini Pakai USB-C, tapi Konektor Charger Masih di Bawah
- Ini Bahayanya Taruh Smartphone di Bawah Bantal Saat Tidur
- Riset: Instagram Reels Mulai Lampaui Popularitas dari TikTok
- Nokia Beli Infinera Rp 37 Triliun demi Perluas Jaringan Optik
- Kenapa Jumlah Followers Instagram Tidak Bertambah? Begini Penjelasannya
- Operator Seluler Sebar Malware ke Pelanggan Penyedot Bandwidth
- 3 Pro Player Dota 2 Asal Indonesia Ikut Kejuaraan Dunia The International 2024