ღია წვდომის მქონე Amazon-ის cloud სერვერმა ნებისმიერ მსურველს საშუალება მისცა, პაროლის გარეშე მიეღო წვდომა ასობით ათასი ადამიანის პერსონალურ მონაცემზე. მონაცემთა ბაზა მოიცავდა მართვის მოწმობებს, პასპორტებს და სხვა პირად ინფორმაციას, რომელიც შეგროვებული იყო Duc App-ის მიერ, რომელიც ტორონტოში დაფუძნებული fintech კომპანიის, Duales-ის მფლობელობაშია.
კანადურმა კომპანიამ პრობლემა მას შემდეგ მოაგვარა, რაც TechCrunch-მა მათ CEO-ს სერვერის დაუცველობის შესახებ აცნობა. აღსანიშნავია, რომ მონაცემები არ იყო დაშიფრული (unencrypted) და მათი ნახვა ნებისმიერ მსურველს მარტივი ბმულის საშუალებით შეეძლო.
CyPeace-ის უსაფრთხოების მკვლევარის, Anurag Sen-ის თანახმად, სერვერზე განთავსებული იყო 360,000-ზე მეტი ფაილი, მათ შორის მომხმარებელთა იდენტიფიკაციისთვის (KYC შემოწმებისთვის) ატვირთული ოფიციალური დოკუმენტები და სელფები.
მონაცემთა მასშტაბი და რისკები
Google Play-ზე Duc App-ს 100,000-ზე მეტი გადმოწერა აქვს. გაჟონილი ფაილები, რომლებიც 2020 წლის სექტემბრიდან გროვდებოდა, ასევე შეიცავდა მომხმარებელთა სახელებს, მისამართებსა და ტრანზაქციების დეტალებს.
Duales-ის CEO-მ, Henry Martinez González-მა განმარტა, რომ მონაცემები ინახებოდა სატესტო ("staging") სერვერზე, თუმცა არ დაუკონკრეტებია, რატომ იყო რეალური მომხმარებლების სენსიტიური ინფორმაცია იქ განთავსებული. TechCrunch-ის ჩარევის შემდეგ ფაილებზე წვდომა დაუყოვნებლივ შეიზღუდა.
კანადის კონფიდენციალურობის მარეგულირებლის განცხადებით, უწყება ინციდენტის დეტალებს სწავლობს. ეს შემთხვევა კიდევ ერთხელ უსვამს ხაზს კიბერუსაფრთხოების კრიტიკულ მნიშვნელობას კომპანიებისთვის, რომლებიც მომხმარებლების პირადობის დამადასტურებელ მონაცემებს ამუშავებენ.
წყარო: techcrunch.com
