Um servidor de armazenamento hospedado na Amazon acessível publicamente permitiu que qualquer pessoa com um navegador acessasse potencialmente centenas de milhares de dados pessoais de pessoas sem a necessidade de uma senha. Isso incluía carteiras de motorista, passaportes e outras informações pessoais coletadas pelo Duc App, um serviço de transferência de dinheiro de propriedade da Duales, com sede em Toronto.
A fintech canadense disse que resolveu a exposição de dados na terça-feira, depois que o TechCrunch alertou seu presidente-executivo de que um dos servidores de armazenamento em nuvem da empresa estava listando publicamente seu conteúdo, sem senha.
Os dados também foram armazenados sem criptografia, o que significa que qualquer pessoa com um hyperlink para os dados poderia visualizá-los na íntegra.
Anurag Sen, pesquisador de segurança da CyPeace que descobriu a falha de segurança no início da semana, contatou o TechCrunch em um esforço para notificar o proprietário dos dados. Sen disse que qualquer pessoa poderia visualizar e baixar os dados usando seu navegador apenas conhecendo o endereço da internet fácil de adivinhar do servidor de armazenamento.
De acordo com Sen, o servidor de armazenamento hospedado pela Amazon listou mais de 360.000 arquivos contendo documentos emitidos pelo governo e outras informações usadas pelos clientes para verificar sua identidade por meio de verificações “conheça seu cliente”. Esses arquivos incluíam selfies enviadas por usuários para provar sua semelhança com o mundo actual.
O TechCrunch não conseguiu determinar o número exato de carteiras de motorista e passaportes expostos; no entanto, várias pastas no intervalo exposto continham, cada uma, dezenas de milhares de arquivos enviados por usuários, uma amostra dos quais listava carteiras de motorista, passaportes e selfies.
Duales apregoa seu aplicativo como uma forma de os usuários enviarem dinheiro para outros usuários, inclusive no exterior, em Cuba e em outros lugares. Isso é Listagem de aplicativos Android na loja de aplicativos Google Play mostra mais de 100.000 downloads de usuários até o momento.
Os arquivos, que datavam de setembro de 2020 e eram carregados diariamente, também continham planilhas listando nomes de clientes, endereços residenciais e datas, horários e detalhes de suas transações.
Quando contatado por e-mail, o presidente-executivo da Duales, Henry Martinez González, disse ao TechCrunch que os dados foram armazenados em um “website de teste”, referindo-se a um website usado principalmente para testes, mas não explicou por que as informações pessoais dos clientes estavam acessíveis publicamente no mesmo banco de dados.
“Todas as proteções estão em vigor”, disse Martinez. “Estamos notificando as partes apropriadas. Não contratamos nenhum serviço seu.”
Depois que o TechCrunch enviou um e-mail à empresa, os arquivos no servidor de armazenamento ficaram inacessíveis, embora uma lista do conteúdo do servidor ainda esteja visível.
Martinez não quis dizer se a empresa tinha meios técnicos, como registros, para determinar quem ou quantas pessoas acessaram os dados.
Web site do aplicativo Duc apareceu brevemente para baixo na quinta-feira, e exibiu um erro de “gateway incorreto”.
Não está claro como ou por que motivo Duales deixou seu servidor de armazenamento hospedado na Amazon aberto publicamente à Web. Nos últimos anos, a Amazon adicionou verificações de segurança para evitar que os usuários exponham inadvertidamente seus dados à Web após uma série de incidentes de alto perfil onde vários gigantes corporativos, incluindo uma agência de espionagem dos EUApublicou dados confidenciais na internet devido a configurações incorretas.
Quando contatado pelo TechCrunch como parte de nossa divulgação para entrar em contato com o proprietário do aplicativo, o regulador de privacidade do Canadá disse que estava buscando mais informações da empresa.
“O Escritório do Comissário de Privacidade do Canadá entrou em contato com a empresa para obter mais informações e determinar as próximas etapas”, disse um porta-voz do regulador ao TechCrunch por e-mail, recusando-se a comentar mais.
Duc App é o aplicativo mais recente em uma lista de falhas de segurança recentes envolvendo a exposição de dados confidenciais de identidade de outras pessoas. Esta exposição de dados ocorre à medida que aplicações e web sites exigem cada vez mais que os seus utilizadores carreguem documentos emitidos pelo governo para verificar quem dizem ser, mas sem tomar medidas suficientes para proteger os dados que recolhem.
No ano passado, o common aplicativo TeaOnHer expôs milhares de passaportes e carteiras de motorista de seus usuários, que o aplicativo exigia que os usuários carregassem antes de permiti-los entrar no condomínio fechado do aplicativo. O Discord no ano passado também confirmou uma violação de dados que afetou cerca de 70.000 documentos emitidos pelo governo carregados por usuários que buscavam verificar sua idade, em meio a um esforço mundial para promulgar leis de verificação de idade on-line.
