Ứng dụng chuyển tiền Duc để lộ hàng nghìn bằng lái xe và hộ chiếu lên mạng

Ứng dụng chuyển tiền Duc làm lộ hàng nghìn bằng lái xe và hộ chiếu lên mạng

Một máy chủ lưu trữ do Amazon cung cấp, có thể truy cập công khai, cho phép bất kỳ ai có trình duyệt web đều có thể truy cập dữ liệu cá nhân của hàng trăm nghìn người mà không cần mật khẩu. Dữ liệu này bao gồm bằng lái xe, hộ chiếu và thông tin cá nhân khác do Ứng dụng Duc thu thập, một dịch vụ chuyển tiền thuộc sở hữu của Duales, có trụ sở tại Toronto. Công ty fintech Canada cho biết họ đã giải quyết việc lộ dữ liệu vào thứ Ba sau khi TechCrunch cảnh báo giám đốc điều hành của họ rằng một trong các máy chủ lưu trữ đám mây của công ty đang liệt kê công khai nội dung của nó, mà không cần mật khẩu. Dữ liệu cũng được lưu trữ mà không được mã hóa, nghĩa là bất kỳ ai có liên kết đến dữ liệu đều có thể xem đầy đủ dữ liệu.

Nhà nghiên cứu bảo mật Anurag Sen, người đã phát hiện ra sơ suất bảo mật vào đầu tuần, đã liên hệ với TechCrunch để thông báo cho chủ sở hữu dữ liệu. Sen cho biết bất kỳ ai cũng có thể xem và tải xuống dữ liệu bằng trình duyệt của họ chỉ bằng cách biết địa chỉ web dễ đoán của máy chủ lưu trữ. Theo Sen, máy chủ lưu trữ do Amazon cung cấp đã liệt kê hơn 360.000 tệp chứa các tài liệu do chính phủ cấp và thông tin khác mà khách hàng sử dụng để xác minh danh tính của họ thông qua các kiểm tra "biết khách hàng của bạn". Các tệp này bao gồm ảnh tự chụp do người dùng tải lên để chứng minh sự giống nhau của họ trong thế giới thực. TechCrunch không thể xác định chính xác số lượng bằng lái xe và hộ chiếu bị lộ; tuy nhiên, một số thư mục trong nhóm lưu trữ bị lộ mỗi thư mục chứa hàng chục nghìn tệp do người dùng tải lên, một mẫu trong số đó liệt kê bằng lái xe, hộ chiếu và ảnh tự chụp.

Duales quảng cáo ứng dụng của mình như một cách để người dùng gửi tiền cho người dùng khác, kể cả ở nước ngoài như Cuba và những nơi khác. Danh sách ứng dụng Android của nó trên cửa hàng ứng dụng Google Play cho thấy hơn 100.000 lượt tải xuống của người dùng cho đến nay. Các tệp, có từ tháng 9 năm 2020 và đang được tải lên hàng ngày, cũng chứa các bảng tính liệt kê tên khách hàng, địa chỉ nhà và ngày, giờ cũng như chi tiết giao dịch của họ.

Khi được liên hệ qua email, giám đốc điều hành của Duales, Henry Martinez González nói với TechCrunch rằng dữ liệu được lưu trữ trên "trang thử nghiệm", đề cập đến một trang web chủ yếu được sử dụng để thử nghiệm, nhưng không giải thích tại sao thông tin cá nhân của khách hàng lại có thể truy cập công khai trong cùng một cơ sở dữ liệu. "Tất cả các biện pháp bảo vệ đều được áp dụng", Martinez nói. "Chúng tôi đang thông báo cho các bên liên quan. Chúng tôi chưa ký hợp đồng dịch vụ nào với bạn." Sau khi TechCrunch gửi email cho công ty, các tệp trên máy chủ lưu trữ đã không thể truy cập được, mặc dù danh sách nội dung của máy chủ vẫn hiển thị. Martinez sẽ không cho biết liệu công ty có các phương tiện kỹ thuật, chẳng hạn như nhật ký, để xác định ai hoặc có bao nhiêu người đã truy cập dữ liệu hay không.

Trang web của Ứng dụng Duc đã tạm thời ngừng hoạt động vào thứ Năm và hiển thị lỗi "cổng kết nối xấu". Không rõ bằng cách nào hoặc vì lý do gì Duales lại để máy chủ lưu trữ do Amazon cung cấp của mình mở công khai trên internet. Trong những năm gần đây, Amazon đã thêm các kiểm tra bảo mật để ngăn người dùng vô tình làm lộ dữ liệu của họ lên internet sau một loạt các sự cố nổi tiếng, trong đó một số tập đoàn khổng lồ, bao gồm cả một cơ quan gián điệp của Hoa Kỳ, đã công bố dữ liệu nhạy cảm lên web do cấu hình sai.

Khi được TechCrunch liên hệ như một phần trong nỗ lực tiếp cận của chúng tôi để liên hệ với chủ sở hữu ứng dụng, cơ quan quản lý quyền riêng tư của Canada cho biết họ đang tìm kiếm thêm thông tin từ công ty. "Văn phòng Ủy viên Quyền riêng tư của Canada đã liên hệ với công ty để lấy thêm thông tin và xác định các bước tiếp theo", người phát ngôn của cơ quan quản lý nói với TechCrunch qua email, từ chối bình luận thêm. Ứng dụng Duc là ứng dụng mới nhất trong danh sách các sơ suất bảo mật gần đây liên quan đến việc tiết lộ dữ liệu danh tính nhạy cảm của người khác. Việc lộ dữ liệu này xảy ra khi các ứng dụng và trang web ngày càng yêu cầu người dùng tải lên các tài liệu do chính phủ cấp để xác minh họ là ai nhưng không thực hiện đủ các bước để bảo mật dữ liệu mà họ thu thập. Năm ngoái, ứng dụng phổ biến TeaOnHer đã làm lộ hàng nghìn hộ chiếu và bằng lái xe của người dùng, ứng dụng này yêu cầu người dùng tải lên trước khi cho phép họ vào cộng đồng khép kín của ứng dụng. Discord năm ngoái cũng xác nhận một vụ vi phạm dữ liệu ảnh hưởng đến khoảng 70.000 tài liệu do chính phủ cấp do người dùng tải lên để xác minh độ tuổi của họ, trong bối cảnh nỗ lực trên toàn thế giới nhằm ban hành luật kiểm tra tuổi trực tuyến.