Para transferi uygulaması Duc'un, binlerce kullanıcısının ehliyet ve pasaport bilgilerini şifresiz ve herkese açık bir şekilde internette sergilediği ortaya çıktı. Bu durum, kullanıcıların kişisel verilerinin potansiyel olarak yüz binlerce kişiye ulaşmasına neden oldu.
GÜVENLİK ZAFİYETİ GÖZE BATIYOR
Kanadalı fintech şirketi Duales'e ait olan Duc App'in, Amazon üzerinde barındırılan bir depolama sunucusunun şifresiz olarak herkese açık bırakılmasıyla bu tehlikeli durum meydana geldi. Güvenlik araştırmacısı Anurag Sen tarafından ortaya çıkarılan bu zafiyet, herhangi bir web tarayıcısıyla erişilebilen sunucuda sürücü ehliyetleri, pasaportlar ve kimlik doğrulaması için toplanan diğer kişisel bilgileri barındırıyordu. Sen'in belirttiğine göre, sunucu adresini bilen herkes bu verilere kolayca erişip indirebiliyordu.
MİLYONLARCA DOSYA İNCELENDİ
Sen, Amazon'un barındırdığı depolama sunucusunda 360.000'den fazla devlet tarafından verilmiş kimlik belgesi ve müşterilerin kimliklerini doğrulamak için kullandıkları diğer bilgileri içeren dosyaların listelendiğini belirtti. Bu dosyalar arasında kullanıcıların gerçek kimliklerini kanıtlamak için yükledikleri selfie'ler de bulunuyordu. Duc App'in Android uygulamasının Google Play'de 100.000'den fazla indirmeye ulaşmış olması, durumun vahametini artırıyor. Eylül 2020'den bu yana yüklenen ve her gün güncellenen dosyaların içinde müşteri adları, ev adresleri ve işlem detaylarını içeren elektronik tablolar da yer alıyordu. Duales CEO'su Henry Martinez González, verilerin bir 'staging site'de (test amaçlı kullanılan bir site) saklandığını belirtse de, neden kişisel bilgilerin aynı veritabanında herkese açık olduğunu açıklamadı. TechCrunch'ın şirketi bilgilendirmesinin ardından sunucudaki dosyalar erişilemez hale getirildi, ancak sunucu içeriğinin listesi hala görülebiliyor. Şirket, bu durumdan kimin veya kaç kişinin etkilendiğini belirlemek için gerekli teknik imkanlara sahip olup olmadığını açıklamadı.
