Финансовая компания Duales из Торонто, являющаяся владельцем приложения для денежных переводов Duc App, обнаружила масштабную утечку личных данных пользователей через открытый сервер облачного хранения, размещенный на Amazon. На этом сервере без пароля хранились скан-копии водительских удостоверений, паспортов и другие персональные сведения, собранные в процессе идентификации клиентов в сервисе.
Об этом сообщает ProIT
Масштаб утечки и реакция компании
Исследователь безопасности из CyPeace Анураг Сен выявил уязвимость и сообщил о ней, отметив, что данные хранились в открытом виде и не были зашифрованы. Это позволяло любому пользователю с доступом к соответствующему веб-адресу просматривать и загружать данные. По словам Сена, на сервере находилось более 360 тысяч файлов с официальными документами, включая фотографии, которые пользователи загружали для подтверждения личности во время проверки «знай своего клиента» (KYC).
В этих файлах также были электронные таблицы с именами клиентов, адресами проживания, а также деталями их транзакций. Некоторые папки на сервере содержали десятки тысяч документов, среди которых были водительские удостоверения, паспорта и селфи пользователей.
«Все меры защиты на месте,» — сказал Мартинес Гонсалес. «Мы уведомляем соответствующие стороны. Мы не заключали с вами никаких контрактов.»
Расследование и дальнейшие меры
После обращения исследователей и специалистов по кибербезопасности доступ к файлам на сервере был закрыт, однако перечень содержимого остался видимым. Генеральный директор Duales Генри Мартинес Гонсалес объяснил, что данные хранились на тестовом («staging») сайте, но не уточнил, почему персональная информация пользователей стала публичной.
Специалисты не смогли определить, сколько именно людей имели доступ к этим данным, поскольку компания не предоставила информации о наличии соответствующих журналов доступа. Веб-сайт Duc App временно был недоступен и выдавал ошибку «bad gateway».
Канадский регулятор по защите персональных данных заявил, что уже обратился к компании для выяснения деталей инцидента и определения дальнейших действий.
Сервис Duc App позволяет пользователям отправлять деньги другим лицам, в том числе за границу, например, на Кубу. Приложение для Android было загружено более 100 тысяч раз. Утечка данных касалась файлов, которые хранились с сентября 2020 года и пополнялись ежедневно.
Этот инцидент стал очередным в ряду подобных утечек, когда приложения и онлайн-сервисы собирают чувствительную идентификационную информацию, но не обеспечивают должного уровня ее защиты. В прошлом году приложение TeaOnHer также открыло доступ к тысячам паспортов и водительских удостоверений пользователей, а Discord подтвердил утечку около 70 тысяч правительственных документов из-за проверки возраста.