كشف تطبيق تحويل الأموال Duc عن آلاف رخص القيادة وجوازات السفر على شبكة الإنترنت المفتوحة
يسمح خادم التخزين الذي تستضيفه أمازون والذي يمكن الوصول إليه بشكل عام لأي شخص لديه متصفح ويب بالوصول إلى البيانات الشخصية لمئات الآلاف من الأشخاص دون الحاجة إلى كلمة مرور. وشمل ذلك رخص القيادة وجوازات السفر وغيرها من المعلومات الشخصية التي تم جمعها بواسطة تطبيق Duc، وهي خدمة تحويل الأموال المملوكة لشركة Duales ومقرها تورونتو.
قالت شركة التكنولوجيا المالية الكندية إنها قامت بحل مشكلة تعرض البيانات يوم الثلاثاء بعد أن نبهت TechCrunch رئيسها التنفيذي إلى أن أحد خوادم التخزين السحابية للشركة كان يدرج محتوياته علنًا دون كلمة مرور.
كما تم تخزين البيانات بشكل غير مشفر، مما يعني أن أي شخص لديه رابط للبيانات كان قادرًا على مشاهدتها بالكامل.
اتصل Anurag Sen، الباحث الأمني في CyPeace الذي اكتشف الثغرة الأمنية في وقت سابق من الأسبوع، بـ TechCrunch في محاولة لإخطار مالك البيانات. قال سين إنه يمكن لأي شخص عرض البيانات وتنزيلها باستخدام متصفحه فقط من خلال معرفة عنوان الويب سهل التخمين لخادم التخزين.
وفقًا لسين، أدرج خادم التخزين الذي تستضيفه أمازون أكثر من 360 ألف ملف تحتوي على مستندات صادرة عن الحكومة ومعلومات أخرى يستخدمها العملاء للتحقق من هويتهم من خلال فحوصات “اعرف عميلك”. تضمنت هذه الملفات صورًا ذاتية تم تحميلها بواسطة المستخدم لإثبات تشابهها مع العالم الحقيقي.
لم يتمكن موقع TechCrunch من التأكد من العدد الدقيق لرخص القيادة وجوازات السفر المكشوفة؛ ومع ذلك، تحتوي العديد من المجلدات الموجودة في المجموعة المكشوفة على عشرات الآلاف من الملفات التي تم تحميلها بواسطة المستخدم، والتي أدرجت عينة منها رخص القيادة وجوازات السفر والصور الشخصية.
تروج شركة Duales لتطبيقها باعتباره وسيلة للمستخدمين لإرسال الأموال إلى مستخدمين آخرين، بما في ذلك في الخارج في كوبا وأماكن أخرى. تعرض قائمة تطبيقات Android في متجر تطبيقات Google Play أكثر من 100000 عملية تنزيل للمستخدم حتى الآن.
تحتوي الملفات، التي يعود تاريخها إلى سبتمبر 2020 ويتم تحميلها يوميًا، أيضًا على جداول بيانات تدرج أسماء العملاء وعناوين منازلهم وتواريخ وأوقات وتفاصيل معاملاتهم.
عند الاتصال بالرئيس التنفيذي لشركة Duales، هنري مارتينيز غونزاليس، عبر البريد الإلكتروني، أخبر موقع TechCrunch أنه تم تخزين البيانات على “موقع مرحلي”، في إشارة إلى موقع ويب يستخدم في المقام الأول للاختبار، لكنه لم يوضح سبب إمكانية الوصول العام إلى المعلومات الشخصية للعملاء في نفس قاعدة البيانات.
قال مارتينيز غونزاليس: “جميع وسائل الحماية موجودة”. “نحن نقوم بإخطار الأطراف المعنية. لم نتعاقد معك على أي خدمات.”
بعد أن أرسلت TechCrunch بريدًا إلكترونيًا إلى الشركة، أصبح الوصول إلى الملفات الموجودة على خادم التخزين غير ممكن، على الرغم من أن قائمة محتويات الخادم لا تزال مرئية.
ولم يوضح مارتينيز غونزاليس ما إذا كانت الشركة تمتلك الوسائل التقنية، مثل السجلات، لتحديد من أو عدد الأشخاص الذين وصلوا إلى البيانات.
ظهر موقع Duc App معطلاً لفترة وجيزة يوم الخميس، وعرض خطأ “بوابة سيئة”.
ليس من الواضح كيف أو لماذا تركت Duales خادم التخزين الذي تستضيفه أمازون مفتوحًا للعامة على الإنترنت. في السنوات الأخيرة، أضافت أمازون فحوصات أمنية لمنع المستخدمين من كشف بياناتهم على الإنترنت عن غير قصد بعد سلسلة من الحوادث البارزة حيث نشرت العديد من الشركات العملاقة، بما في ذلك وكالة تجسس أمريكية، بيانات حساسة على الويب بسبب التكوينات الخاطئة.
وعندما اتصلت بها TechCrunch كجزء من تواصلنا للاتصال بمالك التطبيق، قالت هيئة تنظيم الخصوصية في كندا إنها تسعى للحصول على مزيد من المعلومات من الشركة.
وقال متحدث باسم الهيئة التنظيمية لـ TechCrunch عبر البريد الإلكتروني: “لقد تواصل مكتب مفوض الخصوصية الكندي مع الشركة للحصول على مزيد من المعلومات وتحديد الخطوات التالية”، رافضًا التعليق أكثر.
Duc App هو أحدث تطبيق في قائمة الثغرات الأمنية الأخيرة التي تنطوي على الكشف عن بيانات الهوية الحساسة لأشخاص آخرين. يأتي هذا الكشف عن البيانات في الوقت الذي تطلب فيه التطبيقات ومواقع الويب بشكل متزايد من مستخدميها تحميل المستندات الصادرة عن الحكومة للتحقق من هويتهم ولكن دون اتخاذ خطوات كافية لتأمين البيانات التي يجمعونها.
في العام الماضي، كشف تطبيق TeaOnHer الشهير عن الآلاف من جوازات سفر مستخدميه ورخص القيادة، والتي طلب التطبيق من المستخدمين تحميلها قبل السماح لهم بالدخول إلى مجتمع التطبيق المسور. وأكد Discord العام الماضي أيضًا حدوث خرق للبيانات أثر على حوالي 70 ألف مستند صادر عن الحكومة تم تحميلها من قبل المستخدمين الذين سعوا للتحقق من أعمارهم، وسط جهد عالمي لسن قوانين التحقق من العمر عبر الإنترنت.
