ЭКСКЛЮЗИВ: ФИНТЕХ-СЕРВИС DUC ВЫЛОЖИЛ В ОТКРЫТЫЙ ДОСТУП ДАННЫЕ СОТЕН ТЫСЯЧ ПОЛЬЗОВАТЕЛЕЙ
В шокирующем провале кибербезопасности денежный сервис Duc оставил без пароля облачное хранилище с сотнями тысяч сканов паспортов и водительских прав. Утечка данных, обнаруженная исследователем, длилась годами, выставляя напоказ приватность клиентов.
Публичный Amazon S3-бакет, принадлежащий канадской компании Duales, владеющей приложением, позволял кому угодно просматривать и скачивать файлы через браузер. Данные хранились в открытом виде, без шифрования, что является грубейшим нарушением базовых принципов безопасности. Среди файлов — не только удостоверения личности, но и селфи пользователей, а также таблицы с их адресами и историей транзакций.
«Это классический пример катастрофической небрежности в облачной инфраструктуре, — заявил наш источник в области информационной безопасности. — Отсутствие даже элементарной аутентификации и шифрования для таких чувствительных данных равносильно преступной халатности. Злоумышленникам не потребовался бы ни фишинг, ни сложный эксплойт, ни поиск 0-day уязвимости — всё висело на виду».
Каждый пользователь Duc, отправлявший деньги за рубеж, теперь рискует стать жертвой кражи личности или целевой атаки. Учитывая транзакционную природу сервиса, возникает и вопрос безопасности блокчейна и крипто-операций, если компания так халатно относится к базовой верификации.
Этот инцидент — громкий сигнал для всего финтех-сектора. Ожидайте волну судебных исков и жёсткой реакции регуляторов. Когда речь идёт о документах, удостоверяющих личность, последствия такой утечки будут преследовать жертв годами.
Цифровая доверенность разбита в щепки одним открытым bucket'ом.
