Publicznie dostępny serwer hostowany przez Amazon umożliwiał przeglądanie i pobieranie plików związanych z użytkownikami aplikacji Duc App bez konieczności logowania. Pliki były przechowywane bez szyfrowania, co zwiększało ryzyko nieautoryzowanego dostępu.
Co się stało
Badacz bezpieczeństwa Anurag Sen z CyPeace odkrył serwer, którego zawartość była publicznie wymieniona i dostępna przez zwykłą przeglądarkę. Według niego na serwerze znajdowało się ponad 360 000 plików zawierających dokumenty wydane przez rządy, zdjęcia typu selfie do weryfikacji tożsamości oraz arkusze z imionami, adresami i szczegółami transakcji.
Zakres wyeksponowanych danych
Próbki katalogów wskazywały na dużą liczbę skanów praw jazdy, paszportów oraz zdjęć użytkowników. Pliki datowały się od września 2020 roku i były przesyłane na serwer codziennie. TechCrunch nie potwierdził dokładnej liczby ujawnionych dokumentów.
Reakcja firmy i regulatora
Duales, kanadyjski właściciel aplikacji Duc, zamknął dostęp do plików po otrzymaniu zgłoszenia od TechCrunch. CEO Henry Martinez González określił miejsce przechowywania jako "staging site" i poinformował, że odpowiednie strony są powiadamiane. Firma nie wyjaśniła, dlaczego dane były publicznie dostępne ani czy ma logi umożliwiające ustalenie, kto je przeglądał.
- Według badacza na serwerze znajdowało się ponad 360 000 plików.
- Dane obejmowały paszporty, prawa jazdy, selfie oraz arkusze z danymi klientów i transakcjami.
- Pliki były przechowywane bez szyfrowania i dostępne przez prosty URL.
- Aplikacja Duc ma ponad 100 000 pobrań na Androidzie.
- Kanadyjski urząd ochrony danych skontaktował się z firmą w celu wyjaśnień.
Incydent dołącza do serii podobnych wycieków, gdy aplikacje wymagające uploadu dokumentów nie zabezpieczają odpowiednio danych. W przeszłości podobne przypadki dotyczyły innych aplikacji oraz platform, które przechowywały dokumenty tożsamości bez wystarczających zabezpieczeń.
