Aplicația de transfer de bani Duc App a expus online sute de mii de pașapoarte și permise de conducere ale utilizatorilor

Un server de stocare găzduit pe Amazon, configurat greșit și accesibil public, a permis oricărei persoane cu un browser web să vizualizeze fără parolă datele personale a potențial sute de mii de utilizatori. Printre informațiile expuse se aflau copii de permise de conducere, pașapoarte și alte date sensibile colectate prin Duc App, un serviciu de transfer de bani deținut de compania fintech Duales, cu sediul la Toronto.

Compania canadiană a anunțat că a remediat marți expunerea de date, după ce a fost avertizată că unul dintre serverele sale de stocare în cloud își afișa public conținutul, fără niciun fel de protecție prin parolă.

Datele nu erau nici criptate, astfel încât oricine avea linkul către fișiere le putea accesa și vizualiza integral.

Cercetătorul în securitate Anurag Sen, de la CyPeace, a descoperit breșa la începutul săptămânii și a încercat să identifice proprietarul datelor, semnalând problema publicației care a făcut dezvăluirea. Potrivit lui, oricine putea vedea și descărca fișierele direct din browser, dacă ghicea adresa web, relativ ușor de intuit, a serverului de stocare.

Sen a precizat că serverul găzduit pe infrastructura Amazon lista peste 360.000 de fișiere ce conțineau documente emise de autorități și alte informații folosite de clienți pentru verificarea identității în cadrul procedurilor „know your customer”. Printre acestea erau și selfie-uri încărcate de utilizatori pentru a-și confirma identitatea în raport cu documentele prezentate.

Nu a fost posibilă stabilirea cu exactitate a numărului de permise de conducere și pașapoarte expuse. Totuși, mai multe foldere din spațiul de stocare conțineau zeci de mii de fișiere încărcate de utilizatori, iar un eșantion analizat a arătat prezența copiilor de pașapoarte, permise și fotografii de tip selfie.

Duales își promovează aplicația drept un instrument prin care utilizatorii pot trimite bani altor persoane, inclusiv în străinătate, în Cuba și în alte țări. În magazinul Google Play, varianta pentru Android indică deja peste 100.000 de descărcări.

Fișierele expuse, datând din septembrie 2020 și încărcate în mod curent zi de zi, conțineau și foi de calcul cu nume de clienți, adrese de domiciliu, precum și date, ore și detalii despre tranzacțiile efectuate.

Contactat prin e-mail, directorul general al Duales, Henry Martinez González, a declarat că datele erau stocate pe un „staging site”, adică pe un site folosit în principal pentru testare. El nu a explicat însă de ce informațiile personale reale ale clienților erau accesibile public în aceeași bază de date.

„All protections are in place”, a afirmat Martinez González. „We are notifying the appropriate parties. We have not contracted any services from you.”

La scurt timp după ce compania a fost notificată prin e-mail, fișierele de pe serverul de stocare au devenit inaccesibile, deși lista conținutului de pe server poate fi în continuare vizualizată.

Martinez nu a precizat dacă firma dispune de mijloace tehnice, precum jurnale de acces (loguri), care să permită identificarea persoanelor sau a numărului de persoane care au accesat aceste date.

Site-ul Duc App a fost pentru scurt timp căzut joi, afișând o eroare de tip „bad gateway”.

Nu este clar cum și din ce motiv a rămas serverul de stocare găzduit pe Amazon deschis public către internet. În ultimii ani, Amazon a introdus mai multe controale de securitate pentru a împiedica utilizatorii să-și expună accidental datele online, după o serie de incidente de mare amploare în care mai multe corporații, inclusiv o agenție de spionaj din SUA, au publicat involuntar informații sensibile din cauza unor configurări greșite.

Autoritatea canadiană pentru protecția datelor a fost contactată în cadrul demersurilor de notificare a deținătorului aplicației și a anunțat că solicită clarificări suplimentare de la companie.

„The Office of the Privacy Commissioner of Canada has reached out to the company to obtain more information and determine next steps”, a transmis prin e-mail un purtător de cuvânt al instituției, refuzând să ofere alte comentarii.

Duc App se alătură astfel unei liste tot mai lungi de aplicații implicate recent în incidente de securitate ce au dus la expunerea datelor de identitate ale utilizatorilor. Fenomenul apare tot mai des pe fondul obligațiilor impuse de multe aplicații și site-uri, care cer utilizatorilor să-și încarce documentele emise de autorități pentru verificarea identității, dar nu iau măsuri suficiente pentru a securiza datele pe care le colectează.

Anul trecut, aplicația TeaOnHer a expus mii de pașapoarte și permise de conducere aparținând utilizatorilor, documente pe care aceștia erau obligați să le încarce pentru a avea acces în comunitatea restrânsă a aplicației. Tot anul trecut, platforma Discord a confirmat o breșă de date care a afectat aproximativ 70.000 de documente emise de autorități, încărcate de persoane care încercau să-și verifice vârsta, în contextul eforturilor globale de adoptare a unor legi privind verificarea vârstei online.