Měla lidi chránit, ale unikla jí miliarda záznamů. Digitální identita poháněná AI zklamala všechny

Služba pro ověřování identity pomocí umělé inteligence čelí obrovskému bezpečnostnímu skandálu. Nechráněná databáze obsahovala miliardy záznamů z 26 zemí.

Rawpixel

Technologie, které by měly bránit podvodům a krádežím identity, se samy staly jejich nástrojem. Odborníci upozornili na obří databázi s miliardami záznamů, která byla jen tak volně přístupná na internetu a souvisela s poskytovatelem digitální identity IDMerit. Dle informací redakce Mobify zahrnovala data osobní údaje lidí z 26 států. Nutí nás to se ptát – jak bezpečně dnes nakládáme s digitální identitou?

Citlivá data byla jen tak volně přístupná na internetu

Digitální identita je dnes důležitá pro banky, fintech služby i online platformy. Firmy jako IDMerit nabízí ověřování totožnosti přes API rozhraní, využívané při procesech KYC (Know Your Customer, pokyny a předpisy v oblasti finančních služeb, vysvětluje Wikipedia) či AML (Anti-Money Laundering, což je praní špinavých peněz, uvádí Wikipedia).

Bezpečnostní tým ze společnosti Cybernews objevil otevřenou databázi MongoDB, která měla velikost přes jeden terabajt. Dohromady šlo o více než 3 miliardy záznamů, z nichž cca 1 miliarda obsahovala citlivé osobní údaje jako jména, adresy, data narození, čísla dokladů, telefonní čísla, e-maily či metadata operátorů. Zbytek tvořily systémové logy, které jsou méně podstatné, ale stále mohou pomoci útočníkům při analýze infrastruktury.

I když to nutně neznamená, že byly kompromitovány 3 miliardy lidí, protože jeden člověk mohl mít klidně více záznamů, jde stále o obrovský rozsah a průšvih.

Globální dopad je obrovský, data byla z 26 zemí

Databáze zahrnovala data lidí z 26 zemí. Nejvíce záznamů se týkalo USA (přes 203 milionů), následovalo Mexiko (124 milionů) a Filipíny (72 milionů). Významně zastoupeny byly také země jako Německo (61 milionů), Itálie a Francie (53 milionů), informoval TechRadar.

Rizika jsou přitom nemalá. Převzetí účtů, cílený phishing, úvěrové podvody, SIM swap útoky i narušení soukromí. Jak upozornili bezpečnostní experti, externí poskytovatelé identity se stávají zranitelnou infrastrukturou, a tím i potenciálním „bodem selhání“.

Společnost reagovala s tím, že její systémy jsou v pořádku

Kalifornská firma IDMerit, založená v roce 2014, s odhadovaným ročním obratem kolem 2,9 milionu USD (cca 67 milionů korun) a 25–50 zaměstnanci, uvedla, že její vlastní systémy jsou zabezpečené a nebyly napadeny. Tvrdí, že nevlastní ani neukládá zákaznická data, jenom propojuje autorizované zdroje.

Společnost byla přitom 11. listopadu loňského roku upozorněna hackerem na možné otevřené porty. Po interní kontrole ale nenašla důkazy o průniku do svého prostředí. Zároveň dala na vědomí, že požadavek na zaplacení za bezpečnostní zprávu hackerům naznačoval pokus o vydírání. Jenže dle nás je už samotná existence tak rozsáhlé otevřené databáze slabinou.

AI je dnes snad všude, ale jakou za to platíme cenu?

Umělá inteligence je dneska prakticky všude, od bankovnictví přes zdravotnictví až po státní správu. Ověřování identity pomocí AI je bezpochyby budoucností. Dokáže rychle odhalovat podvody a zefektivnit procesy. Jenže tlak na její co možná nejrychlejší použití může vést k podcenění bezpečnosti.

V Mobify dlouhodobě upozorňujeme, že AI není zázračné řešení samo o sobě. Je to nástroj, který vyžaduje robustní infrastrukturu, kontroly a odpovědnost. Pokud se digitální identita stane plně závislou jen na externích dodavatelích, každé jejich selhání může mít globální následky.