تطبيق تحويل الأموال “دوك” يكشف آلاف رخص القيادة وجوازات السفر على الويب المفتوح
خادم تخزين مستضاف على أمازون ومتاح للجمهور سمح لأي شخص لديه متصفح ويب بالوصول إلى بيانات شخصية محتملة لمئات الآلاف من الأشخاص دون الحاجة إلى كلمة مرور. وتضمن ذلك رخص القيادة، وجوازات السفر، ومعلومات شخصية أخرى تم جمعها بواسطة تطبيق Dec App، وهي خدمة تحويل أموال مملوكة لشركة Duales الكندية التي تتخذ من تورونتو مقرًا لها.
قالت الشركة الكندية للتكنولوجيا المالية إنها وزّنت تعرض البيانات يوم الثلاثاء بعد أن نبهها موقع TechCrunch إلى أن أحد خوادم تخزين سحابية التابعة للشركة كان يعرض محتوياته للجمهور بدون كلمة مرور.
تم تخزين البيانات أيضًا بشكل غير مشفر، مما يعني أن أي شخص لديه رابط البيانات كان يستطيع عرضها بالكامل.
اقرأ أيضاً
تواصل الباحث الأمني أنوراج سين، الذي اكتشف الثغرة الأمنية في وقت سابق من الأسبوع، مع موقع TechCrunch في محاولة لإبلاغ مالك البيانات. قال سين إن أي شخص يمكنه عرض وتحميل البيانات باستخدام متصفحه بمجرد معرفة عنوان الويب السهل التخمين لخادم التخزين.
وفقًا لسين، كان خادم التخزين المستضاف على أمازون يعرض أكثر من 360,000 ملف يحتوي على مستندات صادرة عن الحكومة ومعلومات أخرى استخدمها العملاء للتحقق من هويتهم من خلال “اعرف عميلك”. تضمنت هذه الملفات صور سيلفي قام المستخدمون بتحميلها لإثبات تشابههم مع الواقع.
لم يتمكن موقع TechCrunch من تحديد العدد الدقيق لرخص القيادة وجوازات السفر المكشوفة؛ ومع ذلك، كانت عدة مجلدات في الدلو المكشوف تحتوي كل منها على عشرات الآلاف من الملفات المحملة من قبل المستخدمين، والتي كان من بينها رخص القيادة وجوازات السفر وصور السيلفي.
تروج Duales لتطبيقها كوسيلة للمستخدمين لإرسال الأموال إلى مستخدمين آخرين، بما في ذلك في الخارج إلى كوبا وأماكن أخرى. يظهر إدراج تطبيقها على نظام أندرويد في متجر Google Play أكثر من 100,000 تحميل حتى الآن.
احتوت الملفات، التي تعود إلى سبتمبر 2020 وكانت تُحمّل بشكل يومي، أيضًا على جداول بيانات تسرد أسماء العملاء وعناوينهم المنزلية، وتواريخ وأوقات وتفاصيل معاملاتهم.
عندما تم الوصول إليه عبر البريد الإلكتروني، أخبر رئيس شركة Duales، هنري مارتينيز غونزاليس، موقع TechCrunch أن البيانات كانت مخزنة على “موقع مرحلي”، في إشارة إلى موقع يستخدم أساسًا للاختبار، ولكنه لم يشرح لماذا كانت المعلومات الشخصية للعملاء متاحة للجمهور في نفس قاعدة البيانات.
قال مارتينيز: “جميع الحمايات موجودة.” “نحن نقوم بإخطار الأطراف المعنية. لم نتعاقد على أي خدمات منكم.”
بعد أن أرسل موقع TechCrunch بريدًا إلكترونيًا إلى الشركة، أصبحت الملفات على خادم التخزين غير متاحة، على الرغم من أن قائمة محتويات الخادم لا تزال مرئية.
رفض مارتينيز أن يقول ما إذا كانت الشركة تمتلك الوسائل التقنية، مثل السجلات، لتحديد من أو كم عدد الأشخاص الذين وصلوا إلى البيانات.
ظهر موقع تطبيق Duc لفترة وجيزة في يوم الخميس وكان يعرض خطأ “بوابة سيئة”.
ليس من الواضح كيف أو لماذا تركت Duales خادم التخزين المستضاف على أمازون مفتوحًا للجمهور على الإنترنت. في السنوات الأخيرة، أضافت أمازون فحوصات أمنية لمنع المستخدمين من تعريض بياناتهم عن غير قصد على الإنترنت بعد سلسلة من الحوادث البارزة حيث نشرت عديد من الشركات الكبرى، بما في ذلك وكالة تجسس أمريكية، بيانات حساسة على الويب بسبب التهيئات الخاطئة.
عندما تواصل موقع TechCrunch في إطار جهودنا للاتصال بمالك التطبيق، قال منظم الخصوصية الكندي إنه يسعى للحصول على مزيد من المعلومات من الشركة.
قال متحدث باسم المنظم لموقع TechCrunch عبر البريد الإلكتروني: “وصل مكتب مفوض الخصوصية في كندا إلى الشركة للحصول على مزيد من المعلومات وتحديد الخطوات التالية”، رافضًا التعليق بشكل أعمق.
يُعد تطبيق Duc App أحدث تطبيق في قائمة من الثغرات الأمنية الأخيرة التي تنطوي على تعرض بيانات الهوية الحساسة للآخرين. يأتي هذا التعرض للبيانات في وقت تتطلب فيه التطبيقات والمواقع بشكل متزايد من مستخدميها تحميل مستندات صادرة عن الحكومة للتحقق من هويتهم، ولكن دون اتخاذ خطوات كافية لحماية البيانات التي تجمعها.
في العام الماضي، تعرض تطبيق TeaOnHer الشهير لآلاف من جوازات سفر ورخص قيادة مستخدميه، والتي طلب التطبيق من المستخدمين تحميلها قبل السماح لهم بالانضمام إلى مجتمع التطبيق المغلق. كما أكدت Discord العام الماضي حدوث خرق للبيانات يؤثر على حوالي 70,000 مستند صادر عن الحكومة تم تحميله من قبل المستخدمين الذين سعىوا للتحقق من أعمارهم، في ظل جهود عالمية لتفعيل قوانين التحقق من العمر عبر الإنترنت.