TikTok, Uber, X এবং অন্যান্য বড় প্ল্যাটফর্মের সাথে চুক্তিবদ্ধ একটি সুপরিচিত পরিচয় যাচাইকরণ কোম্পানি এক বছরেরও বেশি সময় ধরে ইন্টারনেটে প্রকাশ করা প্রশাসনিক লগইন শংসাপত্রের একটি সেট রেখে গেছে, কোম্পানির মতে। রিপোর্ট 404 মিডিয়া রিপোর্ট করে যে এই শংসাপত্রগুলি খারাপ অভিনেতাদের আমেরিকানদের ড্রাইভার লাইসেন্সের ছবি সহ সংবেদনশীল ব্যবহারকারীর তথ্য পেতে অনুমতি দিতে পারে।
মামলার সাথে জড়িত কোম্পানি, AU10TIX, লগইন এবং পরিচয় যাচাইকরণ পরিষেবা প্রদান করে।আমরা গত বছর এটি কভার কারণ এটি X এর সাথে অংশীদার (পূর্বে Twitter)সেই সময়ে, এলন মাস্ক ব্লু ব্যবহারকারীর অ্যাকাউন্টগুলির জন্য ঐচ্ছিক ব্যবহারকারী যাচাইকরণ সহ বেশ কয়েকটি নতুন এবং বিতর্কিত বৈশিষ্ট্যগুলি রোল আউট করছিলেন।
লাইক সাইটে ব্যবহারকারীর পরিচয় যাচাই করার জন্য এই ডেটা পয়েন্টগুলি কোম্পানিগুলিকে নিশ্চিত করতে সাহায্য করে যে একজন ব্যবহারকারী একজন প্রকৃত ব্যবহারকারী এবং বট নয়, তবে এই ক্ষেত্রে, এই ডেটা পয়েন্টগুলি একটি গোপনীয়তা দায় হয়ে উঠতে পারে।
404 মিডিয়া লিখেছে যে বিপর্যয়ের কারণ হল যে AU10TIX কর্মচারীর লগইন শংসাপত্রগুলি 2022 সালে ম্যালওয়্যার দ্বারা চুরি হয়েছিল এবং পরবর্তীতে টেলিগ্রাম চ্যানেলে পোস্ট করা হয়েছিল। আউটলেটটি প্রাথমিকভাবে একজন সাইবার নিরাপত্তা গবেষক দ্বারা পরিস্থিতি সম্পর্কে সতর্ক করা হয়েছিল। 404 লিখেছে যে চুরি হওয়া শংসাপত্রের সাথে যুক্ত নামের সাথে লিঙ্কডইনে তালিকাভুক্ত একজন ব্যক্তির সাথে AU10TIX নেটওয়ার্ক অপারেশন সেন্টারের ম্যানেজার হিসেবে মিল রয়েছে৷ এই শংসাপত্রগুলি একটি লগিং প্ল্যাটফর্মে প্রবেশের অনুমতি দেয় যেখানে নির্দিষ্ট ক্লায়েন্ট প্ল্যাটফর্ম ব্যবহারকারীদের সাথে সম্পর্কিত ডেটা দৃশ্যমান বলে মনে হয়। সাইবারসিকিউরিটি গবেষক 404 শংসাপত্র ব্যবহার করে অ্যাক্সেস করা যেতে পারে এমন ডেটার স্ক্রিনশট প্রদান করেছেন, এটিকে নিম্নরূপ ভেঙে দিয়েছেন:
অ্যাক্সেসযোগ্য তথ্যের মধ্যে ব্যক্তির নাম, জন্ম তারিখ, জাতীয়তা, শনাক্তকরণ নম্বর এবং আপলোড করা নথির ধরন (যেমন ড্রাইভিং লাইসেন্স) অন্তর্ভুক্ত থাকে। পরবর্তী লিঙ্কগুলিতে আইডি ডকুমেন্টের ছবি রয়েছে তাদের মধ্যে কিছু ইউএস ড্রাইভারের লাইসেন্স।
Gizmodo মন্তব্যের জন্য AU10TIX-এর সাথে যোগাযোগ করেছে এবং AU10TIX সাড়া দিলে এই গল্পটি আপডেট করবে। 404 মিডিয়া মন্তব্যের জন্য কোম্পানির সাথে যোগাযোগ করলে, এটি আউটলেটকে বলে: “আপনি যে ঘটনাটি উল্লেখ করেছেন তা 18 মাস আগে ঘটেছিল। একটি পুঙ্খানুপুঙ্খ তদন্তের পরে, এটি নির্ধারিত হয়েছিল যে সেই সময়ে কর্মচারীর পরিচয়পত্রগুলি অবৈধভাবে অ্যাক্সেস করা হয়েছিল এবং তা অবিলম্বে প্রত্যাহার করা হয়েছিল।” নিরাপত্তা গবেষকদের মতে, 404 মিডিয়া দাবি করে যে প্রমাণপত্রগুলি এখনও এই মাসের হিসাবে বৈধ। এই তথ্যের মুখোমুখি হলে, AU10TIX বলেছিল যে এটি “শংসাপত্র-সম্পর্কিত সিস্টেমগুলি নিষ্ক্রিয় করছে।”
ব্যবহারকারীর ডেটা অ্যাক্সেস করা হতে পারে এমন সমস্যা সম্পর্কে, সংস্থাটি বলেছে: “যদিও PII ডেটা অ্যাক্সেস করা হতে পারে, আমাদের বর্তমান তদন্তের ফলাফলের ভিত্তিতে, আমরা এমন কোনও প্রমাণ পাইনি যে এই জাতীয় ডেটা ব্যবহার করা হয়েছে৷ আমাদের গ্রাহকদের নিরাপত্তা সবচেয়ে গুরুত্বপূর্ণ গুরুত্ব এবং তারা বিজ্ঞপ্তি পেয়েছে।”
অনুসারে AU10TIX এর ওয়েবসাইটএটি PayPal, LinkedIn, Coinbase, eToro এবং UpWork সহ অন্যান্য অনেক বড় এবং সুপরিচিত প্ল্যাটফর্ম এবং ব্র্যান্ডের সাথে অংশীদারিত্ব করেছে।
