Загальнодоступний сервер зберігання даних, розміщений на Amazon, дозволяв будь-кому з веб-оглядачем отримувати доступ до потенційно сотень тисяч персональних даних людей без потреби в паролі. Це включало водійські права, закордонні паспорти та іншу особисту інформацію, зібрану Duc App — сервісом грошових переказів, що належить компанії Duales з Торонто.
Канадська фінтех-компанія повідомила, що вирішила проблему витоку даних у вівторок після того, як TechCrunch попередив її генерального директора, що один із хмарних серверів зберігання компанії публічно відображає свій вміст без пароля.
Дані також зберігалися незашифрованими, тобто будь-хто, хто мав посилання на дані, міг переглянути їх повністю.
Анураг Сен, дослідник безпеки з CyPeace, який виявив цю прогалину в безпеці на початку тижня, звернувся до TechCrunch, щоб спробувати повідомити власника даних. Сен зазначив, що будь-хто міг переглядати та завантажувати дані за допомогою свого браузера, просто знаючи легку для вгадування веб-адресу сервера зберігання.
За словами Сена, сервер зберігання, розміщений на Amazon, містив понад 360 000 файлів із документами, виданими державними органами, та іншою інформацією, яку клієнти використовували для підтвердження своєї особи через перевірки «знай свого клієнта». Ці файли включали завантажені користувачами селфі для підтвердження їхньої реальної подоби.
TechCrunch не зміг визначити точну кількість скомпрометованих водійських прав і закордонних паспортів; однак кілька папок у відкритому бакеті містили десятки тисяч файлів, завантажених користувачами, і вибірка з них включала водійські права, паспорти та селфі.
Duales рекламує свій додаток як спосіб для користувачів надсилати гроші іншим користувачам, зокрема за кордон, на Кубу та в інші країни. Сторінка його Android-додатку в магазині Google Play свідчить про понад 100 000 завантажень користувачами на сьогодні.
Файли, які датувалися вереснем 2020 року й завантажувалися щодня, також містили електронні таблиці з іменами клієнтів, домашніми адресами, датами, часом і деталями їхніх транзакцій.
Коли з ним зв’язалися електронною поштою, генеральний директор Duales Генрі Мартінес Гонсалес повідомив TechCrunch, що дані зберігалися на «тестовому сайті» (веб-сайті, що використовується переважно для тестування), але не пояснив, чому персональні дані клієнтів були загальнодоступними в тій самій базі даних.
«Усі засоби захисту діють», — сказав Мартінес Гонсалес. «Ми повідомляємо відповідним сторонам. Ми не укладали з вами жодних договорів про надання послуг».
Після того, як TechCrunch надіслав компанії електронного листа, файли на сервері зберігання стали недоступними, хоча список вмісту сервера все ще видно.
Мартінес Гонсалес не побажав сказати, чи має компанія технічні засоби (наприклад, журнали реєстрації), щоб визначити, хто або скільки людей отримали доступ до даних.
Сайт Duc App у четвер ненадовго став недоступним і відображав помилку «bad gateway».
Незрозуміло, як і з якої причини Duales залишив свій хмарний сервер зберігання на Amazon відкритим для загального доступу в інтернеті. Останніми роками Amazon додав перевірки безпеки, щоб запобігти випадковому розкриттю даних в інтернеті після серії гучних інцидентів, коли кілька корпоративних гігантів, включно з американським шпигунським агентством, опублікували конфіденційні дані в мережі через неправильні налаштування.
Коли з канадським регулятором конфіденційності зв’язалися в рамках наших зусиль для контакту з власником додатку, він повідомив, що збирає додаткову інформацію від компанії.
«Управління комісара з питань конфіденційності Канади звернулося до компанії, щоб отримати більше інформації та визначити подальші кроки», — повідомив речник регулятора TechCrunch електронною поштою, відмовившись від подальших коментарів.
Duc App є останнім додатком у списку нещодавніх прогалин у безпеці, пов’язаних із розкриттям конфіденційних даних інших людей. Цей витік даних відбувається на тлі того, як додатки та веб-сайти все частіше вимагають від своїх користувачів завантажувати документи, видані державою, щоб підтвердити, що вони є тими, за кого себе видають, але не вживають достатньо заходів для захисту даних, які вони збирають.
Минулого року популярний додаток TeaOnHer викрив паспорти та водійські права тисяч своїх користувачів, які додаток вимагав завантажити перед тим, як допустити їх до закритої спільноти. Discord також минулого року підтвердив витік даних, що торкнувся близько 70 000 документів, виданих державою, завантажених користувачами для підтвердження свого віку, на тлі загальносвітових зусиль щодо ухвалення законів про перевірку віку в інтернеті.
Залишити відповідь