Утечка данных клиентов Duc App из-за ошибки на сервере

Облачный сервер, размещенный на Amazon, который использовался для хранения данных клиентов сервиса Duc App, оказался доступным для любого пользователя сети. Это позволило посторонним лицам просматривать и загружать личные данные сотен тысяч людей без необходимости ввода пароля. Среди утекших данных были водительские удостоверения, паспорта и другая личная информация.

Компания Duales сообщила о решении проблемы после того, как издание TechCrunch предупредило руководство о том, что их сервер с данными оставался открытым. Однако до момента закрытия доступа, данные находились в незашифрованном виде, что позволяло любому человеку, знающему URL, получить доступ к информации.

По словам исследователя безопасности Анурага Сена из CyPeace, сервер содержал более 360,000 файлов, включая документы, загруженные клиентами для прохождения процедур идентификации. В файлах были как селфи, так и официальные документы.

Компания Duales позиционирует свой сервис как удобный способ передачи денег другим пользователям, в том числе за границу, например, на Кубу. Согласно данным Google Play, приложение было скачано более 100,000 раз.

Во вторник, после письма TechCrunch, компания сделала файлы на сервере недоступными, однако список содержимого сервера все еще можно было увидеть. Руководство компании не сообщило, располагает ли оно техническими средствами для определения объема несанкционированного доступа к данным.

Пока неизвестно, что стало причиной того, что сервер стал общедоступным. Однако, Amazon в последние годы внедряет системы безопасности, чтобы предотвращать подобные утечки данных.

По словам представителя канадского органа по защите личной информации, они начали сбор данных для принятия соответствующих мер в отношении данной утечки.

Отзывы