كشفت ثغرة أمنية خطيرة في تطبيق تحويل الأموال Duc عن تعرض بيانات شخصية حساسة، تشمل جوازات سفر ورخص قيادة، للانكشاف عبر الإنترنت دون أي حماية أو تشفير، ما أثار مخاوف جدية بشأن أمن معلومات المستخدمين.
وأتاح خادم تخزين مستضاف على أمازون ومتاح للعامة لأي شخص لديه متصفح إنترنت الوصول إلى بيانات شخصية يُحتمل أن تخص مئات الآلاف من الأشخاص دون الحاجة إلى كلمة مرور.
وشملت هذه البيانات رخص القيادة وجوازات السفر ومعلومات شخصية أخرى جمعها تطبيق Duc، وهو خدمة لتحويل الأموال مملوكة لشركة Duales ومقرها تورونتو.
وقالت شركة التكنولوجيا المالية الكندية إنها عالجت مشكلة كشف البيانات يوم الثلاثاء بعد أن أبلغ موقع TechCrunch الرئيس التنفيذي للشركة بأن أحد خوادم التخزين السحابي لديها كان يعرض محتوياته علناً دون حماية بكلمة مرور.
كما كانت البيانات مخزنة دون تشفير، ما يعني أن أي شخص يمتلك رابط الوصول كان بإمكانه الاطلاع عليها بالكامل.
وقال الباحث الأمني أنوراغ سين من شركة CyPeace، الذي اكتشف الثغرة في وقت سابق من الأسبوع، إنه تواصل مع TechCrunch لإبلاغ مالك البيانات، مشيراً إلى أن أي شخص يمكنه عرض البيانات وتنزيلها عبر المتصفح بمجرد معرفة عنوان الخادم، وهو عنوان سهل التخمين.
وبحسب سين، احتوى خادم التخزين على أكثر من 360 ألف ملف تضم وثائق حكومية ومعلومات أخرى استخدمها العملاء للتحقق من هويتهم ضمن إجراءات" اعرف عميلك".
وشملت هذه الملفات صوراً شخصية (سيلفي) رفعها المستخدمون لإثبات هويتهم.
ولم يتمكن موقع تيك كرنش بحسب ما نشره من تحديد العدد الدقيق لرخص القيادة وجوازات السفر المكشوفة، إلا أن عدة مجلدات كانت تحتوي على عشرات الآلاف من الملفات التي رفعها المستخدمون، بما في ذلك وثائق الهوية والصور الشخصية.
وتروّج شركة Duales لتطبيقها كوسيلة لتحويل الأموال بين المستخدمين، بما في ذلك التحويلات الدولية إلى كوبا ودول أخرى.
ويُظهر التطبيق على متجر Google Play أكثر من 100 ألف عملية تنزيل حتى الآن.
كما تضمنت الملفات، التي تعود إلى سبتمبر 2020 واستمر رفعها بشكل يومي، جداول بيانات تحتوي على أسماء العملاء وعناوينهم وتفاصيل عملياتهم، بما في ذلك التواريخ والأوقات.
وعند التواصل مع الشركة، قال الرئيس التنفيذي هنري مارتينيز غونزاليس إن البيانات كانت مخزنة على" موقع تجريبي"، لكنه لم يوضح سبب إتاحة معلومات العملاء الحساسة بشكل علني ضمن نفس القاعدة.
وأضاف: " جميع إجراءات الحماية موجودة.
نحن نقوم بإخطار الجهات المعنية"، دون تقديم تفاصيل إضافية.
وبعد تواصل TechCrunch مع الشركة، أصبحت الملفات غير متاحة، لكن قائمة محتويات الخادم لا تزال ظاهرة.
ورفض غونزاليس توضيح ما إذا كانت الشركة تمتلك سجلات تقنية تمكنها من معرفة من قام بالوصول إلى البيانات أو عددهم.
كما تعطل موقع تطبيق Duc لفترة وجيزة يوم الخميس، حيث ظهر خطأ" bad gateway".
ولا يزال من غير الواضح كيف أو لماذا تُرك خادم التخزين مكشوفاً على الإنترنت.
وكانت أمازون قد أضافت خلال السنوات الأخيرة أدوات أمان لمنع مثل هذه الحوادث بعد تسريبات مشابهة طالت شركات كبرى، بما في ذلك وكالة استخبارات أميركية.
من جهتها، قالت هيئة حماية الخصوصية في كندا إنها تواصلت مع الشركة للحصول على مزيد من المعلومات وتحديد الخطوات المقبلة.
ويُعد هذا الحادث أحدث سلسلة من الإخفاقات الأمنية التي شهدت تسريب بيانات حساسة للمستخدمين، في وقت تزداد فيه متطلبات تحميل الوثائق الرسمية للتحقق من الهوية، دون اتخاذ إجراءات كافية لحمايتها.
التعليقات (0)
لا توجد تعليقات حتى الآن. كن أول من يعلق!
أضف تعليقك