У мережі стала відомою інформація про серйозний інцидент із витоком особистих даних, пов’язаний із фінансовою технологічною компанією Duales, яка володіє сервісом переказів Duc App. Вразливість полягала в тому, що один із серверів цієї компанії, розміщений на Amazon, залишався відкритим для доступу з інтернету без будь-якого пароля. Таким чином, будь-хто міг отримати доступ до потенційно сотень тисяч особистих даних користувачів.
Витік даних
Серед даних, доступних для огляду, виявилися водійські посвідчення, паспорти та інші документи, що підтверджують особу. За словами спеціаліста з безпеки Anurag Sen, який першим виявив цю уразливість, дані були також збережені без шифрування. Це означає, що достатньо було лише знати адресу серверу, аби отримати доступ до всіх файлів.
Розслідування показало, що на сервері міститься понад 360 тисяч файлів з урядовими документами, які користувачі завантажували для проходження процедури «знай свого клієнта». Серед них – селфі, які використовувалися для підтвердження особи. Попередньо TechCrunch не вдалося підрахувати точну кількість витоків даних, але зафіксовані папки містили десятки тисяч файлів, що належать користувачам.
Duc App позиціонує себе як сервіс для переказу грошей, включаючи міжнародні транзакції. За даними Google Play, додаток Dun App завантажено більш ніж 100 тисяч разів. Витоки даних, які почалися у вересні 2020 року, щоденно поповнювалися новою інформацією, зокрема, електронними таблицями, що містили контактні дані користувачів і деталі їхніх транзакцій.
Після виявлення проблеми генеральний директор Duales, Генрі Мартінес Гонсалес, заявив, що дані зберігалися на «тестовому сайті», проте не уточнив, чому особисті дані клієнтів були доступні без належного захисту. Після зауваження TechCrunch, доступ до файлів на сервері було закрито, проте перелік його вмісту залишився видимим.
Нагадаємо, що компанія Duales не стала коментувати, які технічні засоби у них є для визначення, скільки людей мали доступ до цих даних. Це неприємне випадок підкреслює проблематику безпеки у світі фінансових технологій, де користувачі все частіше вимушені надавати свої урядові документи для підтвердження особи, але без достатніх заходів для захисту цієї чутливої інформації.
Цей випадок – не перший у своєму роді. Раніше додаток TeaOnHer також зазнав витоку особистих даних своїх клієнтів, включаючи паспорти і водійські посвідчення. Компанії повинні вжити заходів для запобігання подібним ситуаціям, адже захист особистих даних стає критично важливим у сучасному цифровому світі.