- De Duc-app heeft 360.000 niet-versleutelde klantbestanden blootgelegd
- Gegevens omvatten ID’s, adressen en transactiedetails
- Database beveiligd nadat onderzoeker bedrijf op de hoogte bracht
Duc App, een Canadese aanbieder van geldovermakingsdiensten, lekte gevoelige klantgegevens naar het internet, zodat iedereen met een internetverbinding en een browser er toegang toe had.
Beveiligingsonderzoeker Anurag Sen van CyPeace ontdekte onlangs een openbaar toegankelijke, door Amazon gehoste opslagserver met gevoelige gegevens over honderdduizenden mensen.
Dit omvatte de namen van mensen, thuisadressen, maar ook de data, tijden en details van hun transacties. Ze bevatten ook rijbewijzen, paspoorten en andere documenten die waren verzameld tijdens het Know Your Customer (KYC)-registratieproces.
Artikel gaat hieronder verder
De database vergrendelen
Sen zei dat de server meer dan 360.000 bestanden bevatte, allemaal in een niet-gecodeerd formaat en beschikbaar voor iedereen die wist waar hij moest zoeken. Nadat hij de ontdekking had gedaan, nam Sen contact op TechCrunch om contact op te nemen met de eigenaren van Duc App, een bedrijf genaamd Duales.
De publicatie slaagde erin contact op te nemen met de eigenaren, die de database kort daarna sloten. TechCrunch zei dat het het aantal blootgestelde rijbewijzen en paspoorten niet kon bevestigen, maar zei dat het “verschillende mappen” zag met tienduizenden door gebruikers geüploade bestanden, die dateren uit september 2020 en die dagelijks worden geüpload.
In een e-mailverklaring die met de publicatie werd gedeeld, zei Martinez González, CEO van Duales, dat de gegevens waren opgeslagen op een ‘staging-site’ – wat betekent dat de website voornamelijk werd gebruikt voor testen. Hij legde echter niet uit waarom de database openbaar toegankelijk was.
“Alle bescherming is aanwezig”, zei Martinez González. “We brengen de juiste partijen op de hoogte. We hebben geen diensten van u gecontracteerd.” We weten niet of kwaadwillende derden de database vóór Sen hebben weten te vinden, maar het is altijd mogelijk. Cybercriminelen scannen regelmatig het internet op zoek naar blootgestelde databases zoals deze.
Over het algemeen zijn verkeerde configuraties in de cloud de belangrijkste oorzaak van datalekken en -lekken, wat vooral voortvloeit uit de misvatting dat cloudbeveiliging in de eerste plaats de verantwoordelijkheid van de serviceprovider is.
De beste antivirus voor elk budget
Volg TechRadar op Google Nieuws En voeg ons toe als voorkeursbron om ons deskundig nieuws, recensies en meningen in uw feeds te krijgen. Klik dan zeker op de knop Volgen!
En dat kan natuurlijk ook Volg TechRadar op TikTok voor nieuws, recensies, unboxings in videovorm en ontvang regelmatig updates van ons WhatsAppen te.
