GN⁺: 틱톡, 우버, X의 운전면허증 노출된 ID 인증 서비스
(404media.co)AU10TIX의 보안 문제
- TikTok, Uber, X 사용자의 신원을 확인하는 회사 AU10TIX가 1년 이상 온라인에 관리 자격 증명을 노출함
- AU10TIX는 얼굴 사진과 운전 면허증 사진을 처리하여 신원을 확인함
- 이스라엘에 기반을 둔 AU10TIX는 "풀 서비스 신원 확인 솔루션"을 제공한다고 웹사이트에 설명함
- 신원 문서 확인, 실시간 비디오 스트림에서 "생존 감지", 나이 예측 등의 서비스를 제공함
- Fiverr, PayPal, Coinbase, LinkedIn, Upwork 등의 로고가 웹사이트에 포함되어 있으며, 일부는 AU10TIX의 현재 또는 이전 고객임을 확인함
신원 확인 서비스의 중요성 및 보안 문제
- 더 많은 소셜 네트워크와 포르노 사이트가 신원 또는 나이 확인 모델로 이동 중임
- 사용자가 특정 서비스에 접근하기 위해 실제 신원 문서를 업로드해야 함
- 이번 유출 사건은 신원 확인 서비스 자체가 해커의 표적이 될 수 있음을 강조함
- 사이버 보안 연구자는 데이터를 배포하지 않고 404 Media에 스크린샷과 일부 데이터를 제공하여 검증함
GN⁺의 의견
- 이번 사건은 신원 확인 서비스의 보안 취약성을 보여줌
- 신원 확인 서비스가 점점 더 많은 웹사이트에서 요구됨에 따라, 보안 강화가 필수적임
- AU10TIX와 같은 회사는 보안 사고를 방지하기 위해 더 강력한 보안 조치를 취해야 함
- 비슷한 기능을 제공하는 다른 서비스로는 Jumio, Onfido 등이 있음
- 새로운 기술이나 오픈 소스를 채택할 때는 보안과 개인정보 보호를 최우선으로 고려해야 함
Hacker News 의견
-
회사가 자격 증명 유출을 18개월 전에 발견하고 해결했다고 주장했지만, 유출된 자격 증명이 한 달 전까지도 작동했음
- 이런 수준의 관리와 정교함이 이 분야의 벤더들에게 일반적인지 의문임
- 보험을 통해 전문가를 고용해 이런 문제를 제대로 해결해야 한다고 생각함
-
데이터 유출은 당연한 결과였음
- 기술에 대해 조금 아는 원칙 있는 변호사가 결국 이런 회사들을 책임지게 할 것임
- 다른 회사들은 이를 보고 법적 책임을 피하려고 노력할 것이지만, 일부는 책임감 있게 행동하기 시작할 것임
-
덴마크 정부의 온라인 ID 솔루션(MitID)에 대해 점점 더 감사하게 됨
- 완벽하지는 않지만, PII를 노출하지 않고 신원 확인을 할 수 있음
- 미국도 표준화된 안전한 온라인 ID 솔루션이 필요하다고 생각함
-
eToro, Coinbase, Payoneer 같은 고객 목록을 보고 놀람
- 자신의 정보가 유출되었는지 확인할 방법이 있는지 궁금함
- 운전면허증 사진이 일부 주의 법률에 따라 생체 정보로 간주될 수 있음
-
도메인 등록 기관의 MFA 앱을 잃어버린 후 이런 서비스를 사용한 적이 있음
- 그 회사의 S3 버킷에서 운전면허증이 유출되었을 가능성이 있음
- 이후 MFA를 다시 활성화하라는 이메일이 귀찮았음
-
이런 상황이 결국 소프트웨어 개발의 특정 작업에 대해 법적으로 요구되는 전문 면허로 이어질 것이라고 생각함
- PII를 다루는 비즈니스라면 실제 엔지니어링이 필요하고, 그 엔지니어들은 인증을 받아야 함
- 면허가 있으면 관리자나 C-suite의 압력에 맞서기 쉬워짐
- 면허가 있으면 숙련된 노동자들이 올바르게 일을 할 수 있는 레버리지를 제공함
-
이런 상황이 오웰리안 악몽처럼 느껴짐
- TikTok과 X 같은 서비스가 신원 확인을 요구해서는 안 된다고 생각함
-
미국 시민의 생체 정보가 이스라엘로 전송되는 이유가 궁금함
- 민감한 정보가 미국 데이터 센터를 떠나는 것에 대한 법률이 있지 않은지 의문임
-
PII 데이터가 잠재적으로 접근 가능했지만, 현재까지 그런 데이터가 악용된 증거는 없다고 주장함
- 기자가 데이터를 접근해 PII를 확인했는데, 어떻게 이런 주장이 가능한지 의문임
- "증거를 보지 못했다"는 말을 "우리가 정말로 찾지 않았다"로 해석하게 됨