Un server di archiviazione ospitato su Amazon accessibile pubblicamente ha consentito a chiunque disponesse di un browser Internet di accedere potenzialmente a centinaia di migliaia di dati personali di persone senza bisogno di una password. Ciò includeva patenti di guida, passaporti e altre informazioni personali raccolte dall’app Duc, un servizio di trasferimento di denaro di proprietà di Duales con sede a Toronto.
La società fintech canadese ha dichiarato di aver risolto l’esposizione dei dati martedì dopo che TechCrunch ha avvisato il suo amministratore delegato che uno dei server di archiviazione cloud dell’azienda elencava pubblicamente i suoi contenuti, senza password.
I dati venivano inoltre archiviati non crittografati, il che significa che chiunque avesse un collegamento ai dati poteva visualizzarli integralmente.
Anurag Sen, ricercatore di sicurezza presso CyPeace che ha scoperto la mancanza di sicurezza all’inizio della settimana, ha contattato TechCrunch nel tentativo di avvisare il proprietario dei dati. Sen ha affermato che chiunque può visualizzare e scaricare i dati utilizzando il proprio browser semplicemente conoscendo l’indirizzo internet facile da indovinare del server di archiviazione.
Secondo Sen, il server di archiviazione ospitato da Amazon elencava oltre 360.000 file contenenti documenti rilasciati dal governo e altre informazioni utilizzate dai clienti per verificare la propria identità attraverso controlli “conosci il tuo cliente”. Questi file includevano selfie caricati dagli utenti per dimostrare la loro somiglianza nel mondo reale.
TechCrunch non è riuscita advert accertare il numero preciso di patenti di guida e passaporti esposti; tuttavia, various cartelle nel contenitore esposto contenevano ciascuna decine di migliaia di file caricati dagli utenti, un campione dei quali elencava patenti di guida, passaporti e selfie.
Duales pubblicizza la sua app come un modo per consentire agli utenti di inviare denaro advert altri utenti, anche all’estero a Cuba e altrove. Suo Elenco delle app Android sull’app retailer di Google Play mostra più di 100.000 obtain da parte degli utenti fino advert oggi.
I file, che risalivano a settembre 2020 e venivano caricati quotidianamente, contenevano anche fogli di calcolo che elencavano i nomi dei clienti, gli indirizzi di casa e le date, gli orari e i dettagli delle loro transazioni.
Quando è stato raggiunto tramite e-mail, l’amministratore delegato di Duales Henry Martinez González ha dichiarato a TechCrunch che i dati erano archiviati su un “sito di staging”, riferendosi a un sito Internet utilizzato principalmente per i check, ma non ha spiegato perché le informazioni personali dei clienti erano accessibili pubblicamente nello stesso database.
“Tutte le protezioni sono in atto”, ha detto Martinez González. “Stiamo avvisando le parti interessate. Non abbiamo contratto alcun servizio da te.”
Dopo che TechCrunch ha inviato un’e-mail all’azienda, i file sul server di archiviazione sono stati resi inaccessibili, sebbene sia ancora visibile un elenco dei contenuti del server.
Martinez González non ha voluto dire se la società avesse i mezzi tecnici, come i registri, per determinare chi o quante persone hanno avuto accesso ai dati.
Il sito internet di Duc App apparve brevemente giù giovedì e ha visualizzato un errore di “gateway errato”.
Non è chiaro come o per quale motivo Duales abbia lasciato pubblicamente aperto a Web il suo server di archiviazione ospitato su Amazon. Negli ultimi anni, Amazon ha aggiunto controlli di sicurezza per impedire agli utenti di esporre inavvertitamente i propri dati su Web dopo una serie di incidenti di alto profilo in cui diversi giganti aziendali, tra cui un’agenzia di spionaggio statunitenseha pubblicato dati sensibili sul Internet a causa di errate configurazioni.
Quando è stato contattato da TechCrunch come parte del nostro tentativo di contattare il proprietario dell’app, l’autorità canadese di regolamentazione della privateness ha dichiarato che stava cercando maggiori informazioni da parte dell’azienda.
“L’ufficio del commissario per la privateness del Canada ha contattato l’azienda per ottenere maggiori informazioni e determinare i prossimi passi”, ha detto a TechCrunch by way of e-mail un portavoce dell’autorità di regolamentazione, rifiutandosi di commentare ulteriormente.
Duc App è l’ultima app di una lista di recenti violazioni della sicurezza che comportano l’esposizione di dati sensibili sull’identità di altre persone. Questa esposizione dei dati avviene poiché app e siti Internet richiedono sempre più spesso ai propri utenti di caricare i propri documenti rilasciati dal governo per verificare chi dicono di essere, ma senza adottare misure sufficienti per proteggere i dati raccolti.
L’anno scorso, la popolare app TeaOnHer ha esposto migliaia di passaporti e patenti di guida dei suoi utenti, che l’app richiedeva agli utenti di caricare prima di consentire loro di entrare nella comunità recintata dell’app. Lo scorso anno Discord ha anche confermato una violazione dei dati che ha interessato circa 70.000 documenti rilasciati dal governo caricati da utenti che cercavano di verificare la propria età, nel contesto di uno sforzo mondiale per attuare leggi sul controllo dell’età on-line.
