汇款应用程序Duc将数千份驾驶执照和护照暴露在开放网络上

可公开访问的Amazon托管存储服务器允许任何拥有网络浏览器的人无需密码即可访问潜在数十万人的个人数据。其中包括驾驶执照、护照以及Duc App收集的其他个人信息，Duc App是多伦多Duales旗下的一项汇款服务。

这家加拿大金融科技公司表示，在TechCrunch提醒其CEO该公司的一个云存储服务器公开列出其内容且没有密码后，该公司于周二解决了数据泄露问题。

数据也未加密存储，这意味着任何拥有数据链接的人都可以完整查看数据。

CyPeace的安全研究员Anurag Sen在本周早些时候发现了安全漏洞，并联系了TechCrunch，试图通知数据所有者。森表示，任何人只要知道易于猜测的存储服务器的网址，就可以使用浏览器查看和下载数据。

据Sen称，Amazon托管的存储服务器列出了超过360,000个文件，其中包含政府颁发的文件和客户用来通过“了解你的客户”检查来验证其身份的其他信息。这些文件包括用户上传的自拍照，以证明他们与现实世界的相似度。

TechCrunch无法确定暴露的驾驶执照和护照的确切数量；然而，暴露的存储桶中的几个文件夹每个都包含数以万计的用户上传的文件，其中的样本列出了驾驶执照、护照和自拍照。

Duales宣传其应用程序是用户向其他用户汇款的一种方式，包括古巴和其他地方的海外用户。其Android应用程序在Google Play应用程序商店中的列表显示，迄今为止，用户下载量已超过100,000次。

这些文件可以追溯到2020年9月，每天都会上传，其中还包含列出客户姓名、家庭住址以及交易日期、时间和详细信息的电子表格。

在通过电子邮件联系到DualesCEO亨利·马丁内斯·冈萨雷斯 (Henry Martinez González) 时，他告诉TechCrunch，数据存储在“暂存站点”上，指的是主要用于测试的网站，但没有解释为什么客户的个人信息可以在同一数据库中公开访问。

“所有保护措施都已到位，”马丁内斯·冈萨雷斯说。 “我们正在通知相关方。我们尚未与您签订任何服务合同。”

在TechCrunch向该公司发送电子邮件后，存储服务器上的文件变得无法访问，但服务器内容列表仍然可见。

马丁内斯不愿透露该公司是否拥有日志等技术手段来确定谁或有多少人访问了数据。

Duc App的网站周四短暂关闭，并显示“错误网关”错误。

目前尚不清楚Duales如何或出于何种原因将其Amazon托管的存储服务器向互联网公开开放。近年来，在发生一系列备受瞩目的事件后，Amazon增加了安全检查，以防止用户无意中将其数据暴露到互联网上，其中包括美国间谍机构在内的几家企业巨头因配置错误而将敏感数据发布到网络上。

当TechCrunch联系该应用程序所有者时，加拿大隐私监管机构表示正在向该公司寻求更多信息。

该监管机构发言人通过电子邮件告诉TechCrunch，“加拿大隐私专员办公室已与该公司联系，以获取更多信息并确定后续步骤”，但拒绝进一步置评。

Duc App是最近一系列涉及泄露他人敏感身份数据的安全漏洞中最新的一个应用程序。这种数据暴露发生之际，应用程序和网站越来越多地要求用户上传政府颁发的文件以验证他们的身份，但没有采取足够的措施来保护他们收集的数据。

去年，主流的应用程序TeaOnHer暴露了数千名用户的护照和驾驶执照，该应用程序要求用户在允许他们进入该应用程序的封闭社区之前上传这些内容。 Discord去年还证实了一起数据泄露事件，影响了大约70,000份政府发布的文件，这些文件是由试图验证自己年龄的用户上传的，当时全球范围内都在努力制定在线年龄检查法律。