सार्वजनिकरित्या प्रवेश करण्यायोग्य Amazon-होस्ट केलेल्या स्टोरेज सर्व्हरने वेब ब्राउझर असलेल्या कोणालाही पासवर्डची आवश्यकता नसताना संभाव्य शेकडो हजारो लोकांच्या वैयक्तिक डेटामध्ये प्रवेश करण्याची परवानगी दिली. यात ड्रायव्हरचे परवाने, पासपोर्ट आणि टोरंटो-आधारित ड्युएल्सच्या मालकीची पैसे-हस्तांतरण सेवा ड्यूक ॲपद्वारे संकलित केलेली इतर वैयक्तिक माहिती समाविष्ट आहे.
कॅनेडियन फिनटेक कंपनीने सांगितले की रीडने त्याच्या मुख्य कार्यकारी अधिकारीला इशारा दिल्यानंतर मंगळवारी डेटा एक्सपोजरचे निराकरण केले की कंपनीच्या क्लाउड स्टोरेज सर्व्हरपैकी एक संकेतशब्दाशिवाय, त्याची सामग्री सार्वजनिकपणे सूचीबद्ध करत आहे.
डेटा देखील एन्क्रिप्टेड संग्रहित केला गेला होता, याचा अर्थ डेटाचा दुवा असलेला कोणीही तो पूर्ण पाहू शकतो.
सुरक्षा संशोधक अनुराग सेनज्याला आठवड्याच्या सुरुवातीला सुरक्षा त्रुटी आढळली, त्यांनी डेटाच्या मालकाला सूचित करण्याच्या प्रयत्नात Read शी संपर्क साधला. सेन म्हणाले की स्टोरेज सर्व्हरचा अंदाज लावता येण्याजोगा वेब पत्ता जाणून घेऊन कोणीही त्यांच्या ब्राउझरचा वापर करून डेटा पाहू आणि डाउनलोड करू शकतो.
सेनच्या म्हणण्यानुसार, Amazon-होस्ट केलेल्या स्टोरेज सर्व्हरने 360,000 पेक्षा जास्त फायली सूचीबद्ध केल्या आहेत ज्यात सरकारने जारी केलेले दस्तऐवज आणि ग्राहकांनी “तुमच्या ग्राहकाला जाणून घ्या” चेकद्वारे त्यांची ओळख सत्यापित करण्यासाठी वापरली आहे. या फायलींमध्ये वापरकर्त्याने अपलोड केलेले सेल्फी त्यांच्या वास्तविक-जगातील समानता सिद्ध करण्यासाठी समाविष्ट होते.
रीड उघडकीस आलेल्या ड्रायव्हरचे परवाने आणि पासपोर्टची अचूक संख्या निश्चित करू शकले नाही; तथापि, उघड केलेल्या बकेटमधील अनेक फोल्डरमध्ये प्रत्येकामध्ये वापरकर्त्याने अपलोड केलेल्या हजारो फायली आहेत, ज्याचे नमुने ड्रायव्हरचे परवाने, पासपोर्ट आणि सेल्फी सूचीबद्ध आहेत.
Duales वापरकर्त्यांना क्युबा आणि इतरत्र परदेशासह इतर वापरकर्त्यांना पैसे पाठवण्याचा एक मार्ग म्हणून त्याच्या ॲपवर चर्चा करते. त्याची Android ॲप सूची Google Play ॲप स्टोअरवर आजपर्यंत 100,000 पेक्षा जास्त वापरकर्ता डाउनलोड दाखवते.
फायली, ज्या सप्टेंबर 2020 च्या तारखेच्या आहेत आणि दररोज अपलोड केल्या जात होत्या, त्यामध्ये ग्राहकांची नावे, घराचे पत्ते आणि त्यांच्या व्यवहारांच्या तारखा, वेळा आणि तपशील सूचीबद्ध केलेल्या स्प्रेडशीट देखील होत्या.
ईमेलद्वारे पोहोचल्यावर, Duales चे मुख्य कार्यकारी हेन्री मार्टिनेझ गोन्झालेझ यांनी रीडला सांगितले की डेटा “स्टेजिंग साइट” वर संग्रहित केला गेला होता, जो मुख्यतः चाचणीसाठी वापरल्या जाणाऱ्या वेबसाइटचा संदर्भ देत होता, परंतु त्याच डेटाबेसमध्ये ग्राहकांची वैयक्तिक माहिती सार्वजनिकरीत्या का उपलब्ध होती हे स्पष्ट केले नाही.
मार्टिनेझ म्हणाले, “सर्व संरक्षणे आहेत. “आम्ही योग्य पक्षांना सूचित करत आहोत. आम्ही तुमच्याकडून कोणत्याही सेवेचा करार केलेला नाही.”
रीडने कंपनीला ईमेल केल्यानंतर, स्टोरेज सर्व्हरवरील फायली प्रवेश करण्यायोग्य केल्या गेल्या, तरीही सर्व्हरच्या सामग्रीची सूची अद्याप दृश्यमान आहे.
मार्टिनेझ हे सांगणार नाहीत की कंपनीकडे तांत्रिक माध्यमे आहेत, जसे की लॉग, कोणी किंवा किती लोकांनी डेटा ऍक्सेस केला हे निर्धारित करण्यासाठी.
Duc ॲपची वेबसाइट थोडक्यात खाली दिसू लागले गुरुवारी, आणि “खराब गेटवे” त्रुटी प्रदर्शित केली.
ड्युएल्सने त्याचा Amazon-होस्ट केलेला स्टोरेज सर्व्हर सार्वजनिकपणे इंटरनेटसाठी खुला कसा किंवा कोणत्या कारणासाठी सोडला हे स्पष्ट नाही. अलिकडच्या वर्षांत, अनेक कॉर्पोरेट दिग्गज, यासह अनेक कॉर्पोरेट दिग्गजांच्या अनेक उच्च-प्रोफाइल घटनांच्या मालिकेनंतर वापरकर्त्यांना अनवधानाने त्यांचा डेटा इंटरनेटवर उघड करण्यापासून रोखण्यासाठी Amazon ने सुरक्षा तपासण्या जोडल्या आहेत. एक यूएस गुप्तचर संस्थाचुकीच्या कॉन्फिगरेशनमुळे वेबवर संवेदनशील डेटा प्रकाशित केला.
ॲपच्या मालकाशी संपर्क साधण्यासाठी आमच्या आउटरीचचा एक भाग म्हणून रीडद्वारे पोहोचल्यावर, कॅनडाच्या गोपनीयता नियामकाने सांगितले की ते कंपनीकडून अधिक माहिती घेत आहेत.
“कॅनडाच्या प्रायव्हसी कमिशनरच्या कार्यालयाने अधिक माहिती मिळविण्यासाठी आणि पुढील पावले निश्चित करण्यासाठी कंपनीशी संपर्क साधला आहे,” नियामकाच्या प्रवक्त्याने ईमेलद्वारे रीडला सांगितले, अधिक भाष्य करण्यास नकार दिला.
Duc App हे अलीकडील सुरक्षा त्रुटींच्या यादीतील नवीनतम ॲप आहे ज्यामध्ये इतर लोकांच्या संवेदनशील ओळख डेटाच्या प्रदर्शनाचा समावेश आहे. हा डेटा एक्सपोजर आला आहे कारण ॲप्स आणि वेबसाइट्सना त्यांच्या वापरकर्त्यांना ते कोण आहेत हे सत्यापित करण्यासाठी त्यांचे सरकार-जारी दस्तऐवज अपलोड करणे आवश्यक आहे परंतु त्यांनी गोळा केलेला डेटा सुरक्षित करण्यासाठी पुरेशी पावले न उचलता.
गेल्या वर्षी, लोकप्रिय ॲप TeaOnHer ने त्याच्या हजारो वापरकर्त्यांचे पासपोर्ट आणि ड्रायव्हरचे परवाने उघड केले, जे ॲप वापरकर्त्यांना ॲपच्या गेट समुदायामध्ये परवानगी देण्यापूर्वी अपलोड करणे आवश्यक होते. ऑनलाइन वय तपासणी कायदे लागू करण्याच्या जगभरातील प्रयत्नांदरम्यान, डिसकॉर्डने गेल्या वर्षी त्यांच्या वयाची पडताळणी करण्याचा प्रयत्न करणाऱ्या वापरकर्त्यांनी अपलोड केलेल्या सुमारे 70,000 सरकारी-जारी दस्तऐवजांवर परिणाम करणाऱ्या डेटाच्या उल्लंघनाची पुष्टी केली.
Comments are closed.