Η καναδική fintech εταιρεία Duales άφησε έναν server της Amazon ανοιχτό στο διαδίκτυο χωρίς κωδικό πρόσβασης, εκθέτοντας πάνω από 360.000 αρχεία με διαβατήρια, άδειες οδήγησης και προσωπικά δεδομένα χρηστών της εφαρμογής μεταφοράς χρημάτων Duc App. Τα δεδομένα ήταν αποθηκευμένα χωρίς κρυπτογράφηση και προσβάσιμα από οποιονδήποτε γνώριζε τη διεύθυνση του server.
Ένας server της Amazon που ανήκει στην καναδική εταιρεία Duales παρέμενε ανοιχτός στο διαδίκτυο χωρίς κωδικό πρόσβασης, επιτρέποντας σε οποιονδήποτε να δει και να κατεβάσει εκατοντάδες χιλιάδες αρχεία με ευαίσθητα προσωπικά δεδομένα. Τα αρχεία αφορούσαν χρήστες της Duc App, μιας εφαρμογής μεταφοράς χρημάτων που χρησιμοποιείται κυρίως για αποστολές σε Κούβα και άλλες χώρες, και περιλάμβαναν διαβατήρια, άδειες οδήγησης, selfies επαλήθευσης ταυτότητας, ονόματα, διευθύνσεις κατοικίας και ιστορικό συναλλαγών.
Το κενό ασφαλείας εντόπισε ο ερευνητής Anurag Sen από την CyPeace, ο οποίος επικοινώνησε με το TechCrunch για να ειδοποιηθεί ο ιδιοκτήτης των δεδομένων. Σύμφωνα με τον Sen, ο server ήταν προσβάσιμος απλώς γνωρίζοντας τη διεύθυνσή του — χωρίς κωδικό, χωρίς ειδικά εργαλεία, μόνο με ένα browser. Τα δεδομένα δεν ήταν κρυπτογραφημένα, άρα όποιος έφτανε στον σύνδεσμο μπορούσε να τα δει στο σύνολό τους. Ο server περιείχε πάνω από 360.000 αρχεία, με τα παλαιότερα να χρονολογούνται από τον Σεπτέμβριο του 2020 — και νέα αρχεία να ανεβαίνουν καθημερινά μέχρι την αποκάλυψη.
Η Duales έκλεισε την πρόσβαση στα αρχεία αφού ειδοποιήθηκε από το TechCrunch, αλλά η λίστα με τα περιεχόμενα του server παρέμεινε ορατή. Ο διευθύνων σύμβουλος της εταιρείας, Henry Martinez González, ισχυρίστηκε ότι τα δεδομένα βρίσκονταν σε ένα “staging site” — δηλαδή ένα περιβάλλον δοκιμών — χωρίς να εξηγήσει γιατί πραγματικά δεδομένα πελατών ήταν αποθηκευμένα εκεί χωρίς προστασία. Αρνήθηκε επίσης να απαντήσει αν η εταιρεία διαθέτει τα τεχνικά μέσα για να διαπιστώσει πόσοι και ποιοι πιθανώς απέκτησαν πρόσβαση στα δεδομένα.
Η υπόθεση δεν αποτελεί μεμονωμένο περιστατικό. Τον περασμένο χρόνο, η εφαρμογή TeaOnHer εξέθεσε χιλιάδες διαβατήρια και άδειες οδήγησης χρηστών της, ενώ το Discord επιβεβαίωσε παραβίαση που αφορούσε περίπου 70.000 κυβερνητικά έγγραφα που είχαν ανεβάσει χρήστες για επαλήθευση ηλικίας. Η τάση είναι ανησυχητική: όλο και περισσότερες εφαρμογές απαιτούν από τους χρήστες να ανεβάζουν επίσημα έγγραφα ταυτότητας, χωρίς να λαμβάνουν επαρκή μέτρα για την ασφάλειά τους.
Η καναδική Αρχή Προστασίας Προσωπικών Δεδομένων επιβεβαίωσε ότι επικοινώνησε με την εταιρεία για να συλλέξει περισσότερες πληροφορίες και να αποφασίσει τα επόμενα βήματα. Το ζήτημα αναδεικνύει μια διαρκή αντίφαση στον ψηφιακό κόσμο: οι εταιρείες ζητούν από τους χρήστες να εμπιστευτούν τα πιο ευαίσθητα έγγραφά τους, αλλά η ασφάλεια με την οποία τα διαχειρίζονται συχνά δεν είναι ανάλογη της ευθύνης που αναλαμβάνουν.
