Приложение для переводов Duc утратило данные тысяч водительских прав

Сервер приложения Duc для денежных переводов, размещённый на Amazon, был открыт в интернет без защиты паролем. Через неправильно настроенный сервер любой пользователь мог получить доступ к личным документам клиентов, включая водительские права и паспорта.

Критическая уязвимость безопасности выявлена у популярного мобильного приложения для денежных переводов Duc. Неправильно настроенный облачный сервер на платформе Amazon Web Services содержал чувствительные персональные данные и документы тысяч пользователей сервиса, которые были доступны любому человеку с подключением в интернет.

По информации специалистов по кибербезопасности, утечка включала копии водительских прав, паспортов и других удостоверений личности клиентов приложения. Доступ к этим данным не требовал никакой аутентификации или ввода пароля – достаточно было знать адрес сервера. Это создавало серьёзный риск для идентификационной безопасности пользователей.

Компания Duc, похоже, допустила ошибку при конфигурировании параметров доступа к облачному хранилищу данных. Вместо того чтобы ограничить доступ только авторизованным пользователям, сервер был оставлен в открытом состоянии для всеобщего доступа. Подобные ошибки конфигурации облачной инфраструктуры остаются одной из наиболее распространённых причин утечек персональных данных.

Эта инцидент вновь подчёркивает необходимость строгих стандартов безопасности для компаний, работающих с финансовыми услугами и личными документами. Организации должны регулярно проводить аудиты безопасности своей инфраструктуры и убедиться, что облачные хранилища данных правильно защищены от несанкционированного доступа.

Данные свидетельствуют о том, что проблема была обнаружена и устранена, однако неизвестно, скольким злоумышленникам удалось получить информацию до закрытия уязвимости. Компания уведомляет пострадавших пользователей и рекомендует им следить за активностью своих счетов.