Публичный сервер Amazon S3, который Duales использует для тестирования, был открыт без пароля. Любой, кто знал URL, мог открыть сервер в браузере и скачать содержимое. Исследователь Anurag Sen из CyPeace нашёл более 360 000 файлов, загруженных клиентами для процедуры «знай своего клиента» (KYC).
Что произошло
В бакете были сканы водительских прав, паспортов, селфи, а также таблицы с именами, адресами и деталями транзакций, часть из которых датирована сентябрем 2020 года. Файлы хранились в открытом виде, без шифрования, поэтому их мог скачать любой, у кого был URL.
Почему это важно
Утечка затронула потенциально сотни тысяч пользователей из Канады и других стран, вызывая опасения по поводу защиты персональных данных в финтех‑секторе. Инцидент произошёл на фоне ужесточения требований к безопасности облачных хранилищ после нескольких крупных утечек, в том числе в американском разведывательном агентстве.
Что дальше
После сообщения TechCrunch Duales закрыла публичный доступ, но список файлов всё ещё видим в закрытом бакете. Office of the Privacy Commissioner of Canada запросил у компании Duales дополнительные сведения, а эксперты советуют вводить строгие проверки настроек облачных хранилищ.