- Ключевые выводы
- Что произошло: открытый сервер и сотни тысяч файлов
- Как это обнаружили: роль исследователя и журналистов
- Что за данные утекли: паспорта, правки и финансовые истории
- Почему это опасно: риски для пользователей и контекст индустрии
- Реакция регулятора и что дальше
- Краткий разбор технической стороны: почему AWS-сервер мог быть открыт
- Справка
Ключевые выводы
- Публичный сервер Amazon компании Duales (владельца Duc App) позволил любому пользователю интернета скачать личные данные сотен тысяч человек без пароля.
- В утечке оказались сканы паспортов, водительских прав, селфи для верификации и финансовые транзакции, собранные в рамках процедуры KYC (Know Your Customer).
- Уязвимость обнаружил исследователь безопасности Anurag Sen, который предупредил TechCrunch; компания исправила проблему через день после alert.
- Данные хранились незашифрованными на сервере, который компания назвала "тестовым", но не объяснила, почему там были реальные данные клиентов.
- Регулятор Канады начал расследование; инцидент — часть волны утечек из-за flawed safety practices в fintech-стартапах, собирающих документы для верификации.
Представьте: вы загружаете в приложение для денежных переводов свой паспорт и селфи, чтобы подтвердить личность. А потом эти документы просто висит в открытом доступе в интернете — без пароля, без шифрования. Так произошло с пользователями Duc App. Канадский финтех-стартап Duales оставил свой Amazon-сервер публичным, и кто угодно мог скачать данные. Мы разбираем, как это случилось, почему это опасно и что делать пользователям.
Что произошло: открытый сервер и сотни тысяч файлов
Компания Duales, которая владеет приложением Duc App для международных денежных переводов (включая на Кубу), хранила данные клиентов на сервере Amazon Web Services (AWS) без пароля. Это значит, что любой, кто знал веб-адрес, мог открыть сервер в браузере и скачать всё содержимое.
Об этом впервые сообщил исследователь безопасности Anurag Sen из организации CyPeace. Он обнаружил, что сервер открыт, и попытался связаться с владельцем. Потом Sen обратился в TechCrunch, чтобы ускорить уведомление.
На сервере находилось более 360 000 файлов. Это были сканы政府的 документов: паспортов, водительских прав, а также селфи, которые пользователи загружали для идентификации. Ещё там были таблицы с именами, адресами и деталями транзакций.
Данные собирались с сентября 2020 года и обновлялись ежедневно. Приложение Duc App имеет более 100 000 установок в Google Play, так что потенциально пострадало много людей.
Как это обнаружили: роль исследователя и журналистов
Anurag Sen,security researcher из CyPeace, нашёл сервер в начале недели. Он описал, что доступ был простым: "достаточно знать легкий для угадывания адрес". Sen не стал скачивать данные, а просто зафиксировал уязвимость и связался с TechCrunch для эскалации.
Журналисты TechCrunch связались с генеральным директором Duales Henry Martinez González. После этого, уже во вторник, компания заблокировала доступ к файлам. Но список содержимого сервера остался видимым.
Интересно, что Duales назвала сервер "тестовым" (staging site), но не смогла объяснить, почему на нём были реальные данные клиентов. Martínez González заявил: "Все защиты на месте. Мы уведомляем соответствующие стороны". При этом он отказался отвечать, есть ли у компании логи, чтобы определить, кто и сколько раз обращался к данным.
Что за данные утекли: паспорта, правки и финансовые истории
Утечка включает в себя два типа информации: документы для KYC (Know Your Customer) и финансовые записи.
KYC-документы: пользователи загружали сканы паспортов, водительских прав и селфи, чтобы подтвердить, что они те, за кого себя выдают. Это стандартная практика для fintech-компаний, особенно работающих с международными переводами, чтобы соответствовать правилам против отмывания денег.
Финансовые данные: в открытом доступе были spreadsheets с именами, домашними адресами, датами, временем и суммами транзакций. Это значит, что можно было собрать полную финансовую историю человека: куда он переводил деньги, как часто и сколько.
Всё это хранилось незашифрованным. Если бы злоумышленник нашёл сервер, он мог бы скачать всё за минуты. Адрес сервера был предсказуемым, что делает утечку ещё более серьёзной.
Почему это опасно: риски для пользователей и контекст индустрии
Такой инцидент — огромный риск для приватности. Паспорт и водительские права — это золото для мошенников: можно взять кредиты, соврать о возрасте, устроить Identity Theft. А вместе с адресами и финансовыми данными — ещё опаснее.
И это не единичный случай. За последние годы были похожие утечки: приложение TeaOnHer выложило паспорта пользователей, Discord потерял 70 000 документов для возрастной верификации. Даже крупные компании вроде Facebook** и Samsung сталкивались с утечками из-за misconfigured облачных серверов.
Проблема в том, что fintech-стартапы часто торопятся запускать продукты, но не инвестируют в безопасность. Они собирают чувствительные документы для KYC, но не шифруют их или не настраивают права доступа. Amazon AWS и другие облачные платформы дают инструменты, но если администратор не активирует их, данные могут быть публичными.
К тому же, regulatory pressure растёт: во многих странах вводят обязательную age verification для соцсетей и приложений, что означает больше загрузок документов. Если не укреплять безопасность, таких утечек станет больше.
Реакция регулятора и что дальше
Управление Privacy Commissioner of Canada (Уполномоченный по приватности Канады) заявило, что связалось с Duales для сбора информации и определения дальнейших шагов. Это стандартная процедура при утечках персональных данных в Канаде.
Компания Duales пока не комментирует, были ли accessed данные третьими лицами. Генеральный директор не ответил на вопрос о наличии логов. Сайт Duc App на время отключился, показав ошибку "bad gateway", что может говорить о технических проблемах или попытках скрыть что-то ещё.
Для пользователей Duc App главное: monitor свои финансовые счета на подозрительные транзакции, быть осторожными с фишингом (мошенники могут использовать утекшие данные для целевых атак). Если вы загружали документы в приложение, считайте, что вашими паспортом и правками мог заинтересоваться кто угодно.
Для компаний урок очевиден: даже "тестовые" серверы с реальными данными должны быть защищены. Никаких предположений, что "это временно" или "мало кто знает адрес". Настройте шифрование, двухфакторную аутентификацию для доступа к хранилищам, регулярно аудитируйте конфигурации.
Краткий разбор технической стороны: почему AWS-сервер мог быть открыт
Amazon S3 ( Simple Storage Service) — популярное хранилище. По умолчанию новые bucket'ы приватные, но если администратор случайно меняет настройки на "public", файлы доступны всем. Иногда это делают для удобства (например, чтобы делиться картинками на сайте), но для персональных данных — категорически нельзя.
Дополнительно: данные не были зашифрованы на уровне сервера. Даже если бы доступ был ограничен, без шифрования любой, кто получил ключ (например, через утечку логинов), мог бы прочитать файлы.
У Amazon есть инструменты вроде S3 Block Public Access, которые автоматически блокируют публичный доступ. Но они должны быть включены. Похожие инциденты в прошлом (с Clearview AI, Samsung) показали, что даже крупные компании забывают это сделать.
Справка
Duales — канадская финтех-компания, основанная в Торонто. Специализируется на денежных переводах через приложение Duc App. Позиционирует себя как сервис для отправки денег за границу, включая на Кубу. Компания ограниченно известна; инцидент с утечкой — первый крупный скандал. Генеральный директор — Henry Martinez González. Не раскрывает детали финансирования или числа сотрудников. Приложение доступно для Android; более 100 000 загрузок.
Duc App — мобильное приложение для денежных переводов от Duales. Позволяет пользователям отправлять деньги другим пользователям, в том числе международно. Для регистрации требуется загрузка документов для KYC: паспорт, водительские права, селфи. Доступно в Google Play Store. После утечки приложение временно легло, но, вероятно, работает с усиленной безопасностью. Конкурирует с Revolut, Wise, но фокусируется на нишевых маршрутах, например, на Кубу.
Anurag Sen — исследователь безопасности в организации CyPeace (кибербезопасность и этичное хакинг). Обнаружил уязвимость в сервере Duales в начале недели. Специализируется на поиске открытых данных и уведомлении компаний. Подобные researchers часто работают на грейтбордеры (bug bounty), но здесь Sen действовал самостоятельно, чтобы предотвратить утечку. CyPeace — организация, которая помогает улучшать безопасность через исследования и консультирование.
CyPeace — компания в сфере кибербезопасности, базирующаяся (предположительно) в Индии или онлайн. Оказывает услуги по тестированию на проникновение, анализу уязвимостей и обучению. Имеет сайт cypeace.net. Участвует в этичном хакинге, часто сотрудничает с журналистами для раскрытия утечек. В этом случае, их исследователь помог предотвратить потенциально更大ую проблему, уведомив медиа.
Amazon Web Services (AWS) — облачная платформа Amazon, предлагающая хранение данных, вычислительные мощности и др. S3 (Simple Storage Service) — её популярное хранилище объектов. Многие компании используют AWS из-за масштабируемости и низкой стоимости. Но безопасность — ответственность клиента: Amazon предоставляет инструменты (шифрование, политики доступа), но если клиент неправильно настроит, данные могут быть открыты. За последние годы AWS был вовлечён в несколько утечек из-за ошибок конфигурации.
Инцидент с Duc App — тревожный звонок для всей fintech-индустрии. Компании собирают паспорта и правки для KYC, но часто игнорируют базовую безопасность. Пользователи должны понимать риски: загружая документы, вы доверяете их компании. А компании — перестать считать, что "тестовые" серверы не опасны. И помните: если что-то бесплатно в интернете, возможно, вы — продукт. Но здесь продуктом стали ваши личные данные.
