匯款應用程式 Duc 洩漏數千份駕照與護照資訊至公開網路

一個可公開存取的 Amazon 託管儲存伺服器，讓任何擁有網頁瀏覽器的人無需密碼即可存取可能多達數十萬人的個人資料。這包括由總部位於多倫多的 Duales 公司旗下的轉帳服務 Duc App 所收集的駕照、護照及其他個人資訊。

這家加拿大金融科技公司表示，在 TechCrunch 提醒其執行長該公司的一個雲端儲存伺服器在沒有密碼的情況下公開列出其內容後，已於週二解決了資料外洩問題。

這些資料也以未加密的方式儲存，這意味著任何擁有資料連結的人都能完整查看內容。

本週早些時候發現此安全漏洞的安全研究員 Anurag Sen 聯繫了 TechCrunch，試圖通知資料所有者。Sen 表示，任何人只要知道該儲存伺服器那容易猜測的網址，就可以使用瀏覽器查看並下載資料。

根據 Sen 的說法，這個由 Amazon 託管的儲存伺服器列出了超過 360,000 個檔案，其中包含政府核發的證件，以及客戶在「認識你的客戶」（KYC）審核中用於驗證身分的其他資訊。這些檔案還包括用戶上傳的自拍照，用以證明其真實長相。

TechCrunch 無法確定外洩駕照和護照的精確數量；然而，外洩儲存貯體（bucket）中的幾個資料夾各含有數萬個用戶上傳的檔案，抽樣檢查顯示其中包括駕照、護照和自拍照。

Duales 宣傳其應用程式是讓用戶向其他用戶（包括古巴及其他海外地區）匯款的一種方式。其在 Google Play 應用程式商店中的 Android 版列表顯示，迄今已有超過 10 萬次用戶下載。

這些檔案的日期可追溯至 2020 年 9 月，且每天都有新檔案上傳，其中還包含列有客戶姓名、住址以及交易日期、時間和細節的試算表。

在透過電子郵件取得聯繫時，Duales 執行長 Henry Martinez González 告訴 TechCrunch，這些資料儲存在一個「預發布網站」（staging site，主要用於測試的網站），但並未解釋為什麼客戶的個人資訊會在同一個資料庫中被公開存取。

「所有保護措施都已到位，」Martinez 表示。「我們正在通知相關方。我們沒有向貴方購買任何服務。」

在 TechCrunch 發送電子郵件給該公司後，儲存伺服器上的檔案已變為無法存取，儘管伺服器內容列表仍然可見。

Martinez 不願說明公司是否具備技術手段（如日誌）來確定是誰或有多少人存取了這些資料。

Duc App 的網站週四曾短暫斷線，並顯示「bad gateway」錯誤。

目前尚不清楚 Duales 是如何或出於何種原因將其 Amazon 託管的儲存伺服器對網際網路公開。近年來，在發生一系列包括美國情報機構在內的企業巨頭因配置錯誤而將敏感資料發布到網路上的重大事件後，Amazon 已增加了安全檢查，以防止用戶不經意地將資料暴露在網路上。

在 TechCrunch 聯繫應用程式所有者的過程中，加拿大的隱私監管機構表示，正在向該公司尋求更多資訊。

「加拿大隱私專員公署（Office of the Privacy Commissioner of Canada）已聯繫該公司以獲取更多資訊並決定後續步驟，」該監管機構的發言人透過電子郵件告訴 TechCrunch，並拒絕進一步評論。

Duc App 是近期一系列涉及洩漏他人敏感身分資料的安全漏洞名單中最新的一員。此次資料外洩發生之際，應用程式和網站正越來越多地要求用戶上傳政府核發的證件以驗證身分，但卻未採取足夠措施來保護其收集的資料。

去年，熱門應用程式 TeaOnHer 洩漏了數千名用戶的護照和駕照，該程式要求用戶在獲准進入其封閉社群前必須上傳這些證件。Discord 去年也證實了一起資料外洩事件，影響了約 70,000 份由尋求年齡驗證的用戶上傳的政府核發證件，而此時全球正致力於推行網路年齡驗證法律。