تفاصيل التسريب الأمني في تطبيق Duc
كشف تقرير تقني حديث عن ثغرة أمنية جسيمة في تطبيق Duc، المتخصص في خدمات تحويل الأموال، أدت إلى كشف آلاف رخص القيادة وجوازات السفر والبيانات الشخصية الحساسة على شبكة الإنترنت المفتوحة. الخلل نتج عن خادم تخزين تابع لشركة أمازون (AWS) كان متاحاً للوصول العام، مما سمح لأي شخص يمتلك متصفح ويب بالوصول إلى بيانات مئات الآلاف من المستخدمين دون الحاجة إلى كلمة مرور.
ما هو تطبيق Duc؟
يُعد تطبيق Duc منصة للتكنولوجيا المالية (Fintech) مملوكة لشركة “Duales” التي تتخذ من مدينة تورونتو الكندية مقراً لها. تخصصت المنصة في تمكين المستخدمين من إرسال التحويلات المالية الدولية، وبشكل أساسي إلى كوبا ووجهات أخرى. ووفقاً لمتجر تطبيقات “جوجل بلاي”، فقد تجاوز عدد تحميلات التطبيق على نظام أندرويد حاجز الـ 100 ألف مستخدم.
حجم البيانات المكشوفة وطبيعتها
أفادت التقارير أن الخادم المتضرر كان يحتوي على أكثر من 360 ألف ملف تضم وثائق حكومية رسمية، تم جمعها كجزء من إجراءات “اعرف عميلك” (KYC) للتحقق من الهوية. ولم تقتصر البيانات على الوثائق فحسب، بل شملت أيضاً:
- صور “سيلفي” للمستخدمين تم تحميلها لإثبات الهوية.
- جداول بيانات تتضمن أسماء العملاء وعناوين منازلهم.
- تفاصيل دقيقة عن المعاملات المالية، بما في ذلك المواعيد والمبالغ والوجهات.
- بيانات غير مشفرة تعود لسبتمبر 2020، كانت تُحدث يومياً.
رد فعل الشركة والوضع الراهن
في تصريح مقتضب، أكد مارتينيز، المسؤول في الشركة، أن التدابير الوقائية قد تم تفعيلها، وأنه يجري إخطار الأطراف المعنية. ومع ذلك، لم توضح الشركة ما إذا كانت تمتلك السجلات التقنية اللازمة لتحديد عدد الأشخاص الذين تمكنوا بالفعل من الوصول إلى هذه البيانات الحساسة أو تحميلها. يُذكر أن موقع التطبيق شهد تعطلاً مؤقتاً وظهور رسائل خطأ (Bad Gateway) عقب اكتشاف الثغرة.
سياق أمني أوسع في قطاع الفينتك
تأتي هذه الحادثة كجزء من سلسلة متزايدة من الإخفاقات الأمنية في تطبيقات الفينتك والمنصات الرقمية. فعلى الرغم من أن شركة أمازون قامت بتعزيز ضوابط الأمان لمنع تسريب البيانات غير المقصود، إلا أن أخطاء التكوين البشري لا تزال تشكل خطراً داهماً. وتُسلط هذه الواقعة الضوء على الفجوة المتزايدة بين متطلبات التطبيقات لجمع وثائق الهوية وبين الخطوات الفعلية المتخذة لتأمين هذا الكنز من المعلومات الحساسة.
المصدر: TechCrunch
اترك تعليقاً