Un serveur de stockage hébergé par Amazon accessible au public a permis à toute personne disposant d’un navigateur Web d’accéder potentiellement à des centaines de milliers de données personnelles sans avoir besoin d’un mot de passe. Cela comprenait les permis de conduire, les passeports et d’autres informations personnelles collectées par Duc App, un service de transfert d’argent appartenant à Duales, basé à Toronto.
La société fintech canadienne a déclaré avoir résolu l’exposition des données mardi après que TechCrunch a alerté son directeur général que l’un des serveurs de stockage cloud de la société répertoriait publiquement son contenu, sans mot de passe.
Les données étaient également stockées en clair, ce qui signifie que toute personne disposant d’un lien vers les données pouvait les visualiser dans leur intégralité.
Anurag Sen, chercheur en sécurité chez CyPeace qui a découvert la faille de sécurité plus tôt dans la semaine, a contacté TechCrunch dans le but d’informer le propriétaire des données. Sen a déclaré que n’importe qui pouvait visualiser et télécharger les données à l’aide de son navigateur simplement en connaissant l’adresse Web facile à deviner du serveur de stockage.
Selon Sen, le serveur de stockage hébergé par Amazon a répertorié plus de 360 000 fichiers contenant des documents émis par le gouvernement et d’autres informations utilisées par les clients pour vérifier leur identité grâce à des contrôles « connaître votre client ». Ces fichiers comprenaient des selfies téléchargés par les utilisateurs pour prouver leur ressemblance avec le monde réel.
TechCrunch n’a pas pu déterminer le nombre précis de permis de conduire et de passeports exposés ; cependant, plusieurs dossiers du compartiment exposé contenaient chacun des dizaines de milliers de fichiers téléchargés par les utilisateurs, dont un échantillon répertoriait les permis de conduire, les passeports et les selfies.
Duales présente son application comme un moyen permettant aux utilisateurs d’envoyer de l’argent à d’autres utilisateurs, y compris à l’étranger, à Cuba et ailleurs. Sa liste d’applications Android sur la boutique d’applications Google Play affiche à ce jour plus de 100 000 téléchargements d’utilisateurs.
Les fichiers, qui remontaient à septembre 2020 et étaient téléchargés quotidiennement, contenaient également des feuilles de calcul répertoriant les noms des clients, leurs adresses personnelles ainsi que les dates, heures et détails de leurs transactions.
Lorsqu’il a été contacté par courrier électronique, le directeur général de Duales, Henry Martinez González, a déclaré à TechCrunch que les données étaient stockées sur un « site de test », faisant référence à un site Web utilisé principalement pour les tests, mais n’a pas expliqué pourquoi les informations personnelles des clients étaient accessibles au public dans la même base de données.
« Toutes les protections sont en place », a déclaré Martinez González. « Nous informons les parties concernées. Nous n’avons contracté aucun service de votre part. »
Après que TechCrunch ait envoyé un e-mail à l’entreprise, les fichiers du serveur de stockage sont devenus inaccessibles, bien qu’une liste du contenu du serveur soit toujours visible.
Martinez González n’a pas voulu dire si l’entreprise disposait des moyens techniques, tels que les journaux, pour déterminer qui ou combien de personnes ont accédé aux données.
Le site Web de Duc App est apparu brièvement jeudi et a affiché une erreur « mauvaise passerelle ».
On ne sait pas comment ni pour quelle raison Duales a laissé son serveur de stockage hébergé par Amazon ouvert publiquement à Internet. Ces dernières années, Amazon a ajouté des contrôles de sécurité pour empêcher les utilisateurs d’exposer par inadvertance leurs données à Internet après une série d’incidents très médiatisés au cours desquels plusieurs géants de l’entreprise, dont une agence d’espionnage américaine, ont publié des données sensibles sur le Web en raison de mauvaises configurations.
Lorsqu’il a été contacté par TechCrunch dans le cadre de notre démarche visant à contacter le propriétaire de l’application, l’organisme canadien de réglementation de la protection de la vie privée a déclaré qu’il cherchait plus d’informations auprès de l’entreprise.
« Le Commissariat à la protection de la vie privée du Canada a contacté l’entreprise pour obtenir plus d’informations et déterminer les prochaines étapes », a déclaré un porte-parole du régulateur à TechCrunch par courrier électronique, évoluant pour commenter davantage.
Duc App est la dernière application d’une liste de failles de sécurité récentes impliquant l’exposition des données d’identité sensibles d’autres personnes. Cette exposition des données survient alors que les applications et les sites Web demandent de plus en plus à leurs utilisateurs de télécharger leurs documents émis par le gouvernement pour vérifier qui ils prétendent être, mais sans prendre suffisamment de mesures pour sécuriser les données qu’ils collectent.
L’année dernière, l’application populaire TeaOnHer a dévoilé les passeports et permis de conduire de milliers de ses utilisateurs, que l’application exigeait que les utilisateurs téléchargent avant de les autoriser à accéder à la communauté fermée de l’application. L’année dernière, Discord a également confirmé une violation de données affectant environ 70 000 documents gouvernementaux téléchargés par des utilisateurs cherchant à vérifier leur âge, dans le cadre d’un effort mondial visant à promulguer des lois sur la vérification de l’âge en ligne.
