Приложение для денежных переводов Дык выложило в открытый доступ тысячи водительских прав и паспортов

Подробности

Общедоступный сервер хранения данных, размещенный на Amazon, позволял любому, у кого был веб-браузер, получить доступ к потенциально сотням тысяч личных данных людей без необходимости ввода пароля. Сюда входили водительские права, паспорта и другая личная информация, собранная приложением Duc — службой денежных переводов, принадлежащей компании Duales из Торонто.

Канадская финтех-компания заявила, что устранила проблему раскрытия данных во вторник после того, как TechCrunch предупредил своего генерального директора о том, что один из серверов облачного хранения компании публично публикует свое содержимое без пароля.

Данные также хранились в незашифрованном виде, то есть любой, у кого была ссылка на данные, мог просмотреть их полностью.

Анураг Сен, исследователь безопасности из CyPeace, обнаруживший бреши в системе безопасности ранее на этой неделе, связался с TechCrunch, чтобы уведомить владельца данных. Сен сказал, что любой может просмотреть и загрузить данные с помощью своего браузера, просто зная легко угадываемый веб-адрес сервера хранения.

По словам Сена, на сервере хранения, размещенном на Amazon, содержится более 360 000 файлов, содержащих выданные правительством документы и другую информацию, используемую клиентами для проверки своей личности посредством проверок «знай своего клиента». Эти файлы включали селфи, загруженные пользователями, чтобы доказать их сходство с реальным миром.