Сериозен безбедносен пропуст во Duc App изложи податоци на стотици илјади корисници

Сериозен безбедносен пропуст во финтек апликацијата Duc App доведе до изложување на лични податоци на стотици илјади корисници, откако сервер хостиран преку Amazon бил оставен јавно достапен без никаква заштита.

Според информациите, секој што имал пристап до интернет-прелистувач можел да ги прегледува и презема податоците без лозинка. Дополнително, информациите биле зачувани без енкрипција, што значи дека чувствителните документи биле целосно видливи. Меѓу изложените податоци имало копии од пасоши, возачки дозволи, како и фотографии што корисниците ги прикачувале за потврда на идентитетот.

Пропустот го открил безбедносниот истражувач Anurag Sen, кој посочил дека пристапот до базата бил можен преку лесно предвидлива веб-адреса. Станува збор за повеќе од 360 илјади датотеки, кои вклучувале документи користени за таканаречените „know your customer“ проверки, неопходни за финансиски услуги.

Апликацијата е во сопственост на канадската компанија Duales, која нуди услуги за трансфер на пари, вклучително и меѓународни плаќања. Податоците датирале уште од 2020 година и редовно се ажурирале, а покрај личните документи содржеле и табели со имиња, адреси и детали за трансакции на корисниците.

Откако случајот бил пријавен, компанијата брзо реагирала и го ограничила пристапот до серверот. Извршниот директор Henry Martinez González изјавил дека станува збор за тест-околина, но не објаснил зошто чувствителни кориснички податоци биле складирани на место без соодветна заштита.

Во меѓувреме, канадскиот регулатор за заштита на приватноста започнал постапка за утврдување на околностите и можните последици од инцидентот. Засега не е познато дали компанијата може да утврди колку лица имале пристап до податоците додека тие биле јавно достапни.

Овој случај е уште еден во низата инциденти кои укажуваат на растечки ризици поврзани со дигиталните платформи што бараат од корисниците да прикачуваат лични документи. И покрај зголемената потреба за идентификација во онлајн услугите, експертите предупредуваат дека без соодветна заштита, ваквите системи можат да претставуваат сериозна закана за приватноста.