- Ducアプリが36万件の暗号化されていない顧客ファイルを流出
- データにはID、住所、取引詳細が含まれていた
- 研究者が企業に警告した後、データベースが保護された
カナダの送金サービスプロバイダーであるDuc Appは、機密の顧客データをウェブ上に流出させており、インターネット接続とブラウザを持つ誰もがそれにアクセスすることができました。
CyPeaceのセキュリティ研究者Anurag Senは最近、何十万人もの人々の機密データが含まれた、公開アクセス可能なAmazonホスト型ストレージサーバーを発見しました。
これには人々の名前、自宅住所、そして彼らの取引の日付、時間、詳細が含まれていました。また、顧客確認(KYC)登録プロセス中に収集された運転免許証、パスポート、およびその他の書類も含まれていました。
記事は以下に続きます
データベースをロックダウン
Senはサーバーに36万件以上のファイルがリストされており、すべて暗号化されていない形式であり、どこを見ればよいかを知っている誰もがアクセス可能だと述べました。発見した後、SenはDuc Appの所有者であるDualesという会社に連絡するのを支援するためにTechCrunchに連絡しました。
出版物は所有者に連絡することに成功し、その直後にデータベースをロックダウンしました。TechCrunchは流出した運転免許証とパスポートの数を確認することはできなかったと述べましたが、2020年9月にさかのぼり、毎日アップロードされている、数万件のユーザーアップロードファイルを含む「複数のフォルダ」を見たと述べました。
出版物と共有されたメール声明で、Dualesの最高経営責任者Martinez Gonzálezは、データは「ステージングサイト」に保存されていたと述べました。つまり、ウェブサイトは主にテストに使用されていました。しかし、彼はデータベースが公開アクセス可能である理由については説明しませんでした。
「すべての保護措置が適切に配置されています」とMartinez Gonzálezは述べました。「私たちは適切な関係者に通知しています。私たちはあなたからいかなるサービスも契約していません。」Senの前にデータベースを見つけることができた悪意のある第三者がいるかどうかは知りませんが、それは常に可能です。サイバー犯罪者は、このようなさらされたデータベースをより広いウェブ全体で頻繁にスキャンします。
一般的に、クラウドのミスコンフィギュレーションはデータ漏洩の主な原因であり、ほとんどの場合、クラウドセキュリティは主にサービスプロバイダーの責任であるという誤解から生じています。
そしてもちろんあなたもTikTokでTechRadarをフォローすることができます。ニュース、レビュー、ビデオ形式のアンボックスを入手でき、WhatsAppからも定期的にアップデートを受け取ることができます。
