Канадская финтех-компания сообщила о решении проблемы утечки данных во вторник после того, как издание TechCrunch уведомило ее генерального директора о том, что один из облачных серверов хранения данных компании публично раскрывал свое содержимое без пароля.
Данные также хранились без шифрования, что означало, что любой, у кого был доступ к ссылке на данные, мог просмотреть их полностью.
Анураг Сен, исследователь безопасности из CyPeace, обнаруживший уязвимость в начале недели, связался с TechCrunch, чтобы уведомить владельца данных. Сен сообщил, что любой мог просматривать и загружать данные через браузер, просто зная легко угадываемый веб-адрес сервера хранения.
По словам Сена, сервер хранения, размещенный на Amazon, содержал более 360 000 файлов с документами, выданными государственными органами, и другой информацией, которую клиенты использовали для подтверждения своей личности в рамках проверок «знай своего клиента». Эти файлы включали селфи, загруженные пользователями для подтверждения их реальной внешности.
TechCrunch не смог установить точное количество раскрытых водительских удостоверений и паспортов; однако несколько папок в открытом хранилище содержали десятки тысяч файлов, загруженных пользователями, среди которых были водительские удостоверения, паспорта и селфи.
Duales позиционирует свое приложение как способ для пользователей отправлять деньги другим пользователям, в том числе за границу на Кубу и в другие страны. В описании его приложения для Android в магазине Google Play указано более 100 000 загрузок на сегодняшний день.
Файлы, датированные сентябрем 2020 года и загружавшиеся ежедневно, также содержали электронные таблицы с именами клиентов, домашними адресами, а также датами, временем и деталями их транзакций.
Когда с ним связались по электронной почте, генеральный директор Duales Генри Мартинес Гонсалес сообщил TechCrunch, что данные хранились на «тестовом сайте» (staging site), ссылаясь на веб-сайт, используемый в основном для тестирования, но не объяснил, почему личная информация клиентов была общедоступна в той же базе данных.
«Все меры защиты приняты», — сказал Мартинес Гонсалес. «Мы уведомляем соответствующие стороны. Мы не заключали с вами никаких контрактов».
После того как TechCrunch отправил компании электронное письмо, файлы на сервере хранения стали недоступны, хотя список содержимого сервера все еще виден.
Мартинес не сообщил, располагает ли компания техническими средствами, такими как логи, чтобы определить, кто и сколько людей получили доступ к данным.
Веб-сайт Duc App кратковременно не работал в четверг, отображая ошибку «bad gateway» (ошибка шлюза).
Неясно, как и по какой причине Duales оставила свой сервер хранения, размещенный на Amazon, открытым для интернета. В последние годы Amazon добавила проверки безопасности, чтобы предотвратить случайное раскрытие данных пользователей в интернете после серии громкихинцидентов, когда несколькокорпоративныхгигантов, включая разведывательное агентство США, публиковали конфиденциальные данные в сети из-за неправильных настроек.
Когда с изданием TechCrunch связался представитель регулятора конфиденциальности Канады в рамках нашего обращения к владельцу приложения, он сообщил, что ведомство запрашивает дополнительную информацию у компании.
«Управление Комиссара по вопросам конфиденциальности Канады связалось с компанией, чтобы получить дополнительную информацию и определить дальнейшие шаги», — сообщил представитель регулятора TechCrunch по электронной почте, отказавшись от дальнейших комментариев.
Duc App — последнее приложение в списке недавних нарушений безопасности, связанных с раскрытием конфиденциальных данных, удостоверяющих личность других людей. Это раскрытие данных происходит на фоне того, что приложения и веб-сайты все чаще требуют от пользователей загружать документы, выданные государственными органами, для подтверждения личности, но при этом не предпринимают достаточных шагов для защиты собираемых данных.
В прошлом году популярное приложение TeaOnHer раскрыло тысячи паспортов и водительских удостоверений своих пользователей, которые приложение требовало загрузить перед допуском в закрытое сообщество. В прошлом году Discord также подтвердил утечку данных, затронувшую около 70 000 документов, выданных государственными органами, загруженных пользователями, пытавшимися подтвердить свой возраст, на фоне общемировых усилий по введению законов о проверке возраста в интернете.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Zack Whittaker
