Bocor, Data Verifikasi Wajah dan Identitas yang Dipakai TikTok dan X

Ilustrasi hacker

KOMPAS.com - Sebuah perusahaan yang membantu TikTok, Uber, dan X memverifikasi identitas penggunanya dengan memproses foto wajah dan identitas surat izin mengemudi (SIM) dilaporkan mengalami kebocoran data.

Perusahaan tersebut adalah AU10TIX yang berbasis di Hod HaSharon, Israel. Didiirikan pada 2002, AU10TIX menggambarkan dirinya sebagai “perusahaan pertama di dunia untuk solusi verifikasi identitas” dan menawarkan berbagai layanan, mulai dari verifikasi usia, alamat, dan verifikasi biometrik, hingga deteksi deepfake.

AU10TIX telah bermitra dengan beberapa perusahaan besar, seperti TikTok, X, Bumble, Uber, dan Coinbase.

Misalnya, di X, pengguna harus memberikan foto selfie dan tanda pengenal (ID) yang dikeluarkan pemerintah untuk memverifikasi akun alias mendapatkan centang biru (verified account).

Keterbukaan informasi soal penggunaan layanan pihak ketiga AU10TIX untuk verifikasi ID di X bisa dilihat di laman berikut ini.

Gara-gara kredensial karyawan dicuri

AU10TIX menggunakan gambar tersebut untuk mengonfirmasi identitas pengguna dan menyimpan data tersebut hingga 30 hari.

Menurut laporan 404 Media, data verifikasi pengguna yang disimpan itu bocor karena serangan malware pada karyawan AU10TIX pada September 2022. Dari serangan itu, hacker mendapatkan kredensial (username dan password) karyawan AU10TIX dan dibagikan di saluran Telegram pada bulan Maret 2023.

Kredensial tersebut akan digunakan untuk mengakses platform logging yang berisi banyak data pengguna, termasuk nama, tanggal lahir, kebangsaan, nomor ID, dan jenis dokumen yang diunggah pengguna dari platform klien.

Kredensial juga dapat mengakses tautan ke gambar dokumen pribadi yang dikumpulkan untuk proses verifikasi. Artinya, hacker bisa saja melihat surat izin mengemudi banyak pengguna.

AU10TIX mengindikasikan bahwa pihaknya sudah melakukan investigasi menyeluruh dan segera mencabut kredensial yang dicuri hacker.

“Insiden yang Anda kutip terjadi lebih dari 18 bulan yang lalu. Investigasi menyeluruh menentukan bahwa kredensial karyawan diakses secara ilegal dan segera dicabut,” kata AU10TIX ke 404 Media.

AU10TIX menyiratkan bahwa kredensial tidak lagi dapat digunakan untuk mengakses data pengguna setelah penyelidikan.

Namun, kepala keamanan spiderSilk, Mossab Hussein, yang pertama kali memberi tahu 404 Media tentang pelanggaran tersebut, mengatakan bahwa kredensial tersebut masih berfungsi hingga Juni 2024 ini.

"Meskipun data PII berpotensi dapat diakses, berdasarkan temuan kami saat ini, kami tidak melihat bukti bahwa data tersebut telah dieksploitasi. Keamanan pelanggan kami adalah yang paling penting, dan mereka telah diberitahu," kata AU10TIX dalam pernyataan terbarunya.

Perusahaan verifikasi ID yang digunakan oleh X itu menambahkan bahwa mereka akan terus menonaktifkan sistem operasional terkait, menggantinya dengan sistem baru, dan meningkatkan langkah-langkah keamanan.

Platform yang menggunakan layanan verifikasi AU10TIX seperti TikTok, X, Bumble, Uber, dan Coinbase belum memberikan komentarnya soal temuan ini, sebagaimana dihimpun KompasTekno dari BGR, Senin (1/7/2024).