Η καναδική εφαρμογή μεταφοράς χρημάτων Duc εξέθεσε χιλιάδες κυβερνητικά έγγραφα ταυτοποίησης σε αφύλακτο server της Amazon. Η υπόθεση αναδεικνύει τα δομικά κενά ασφαλείας στο ταχέως αναπτυσσόμενο οικοσύστημα των fintech.
Μια σοβαρή υπόθεση διαρροής προσωπικών δεδομένων ταρακουνά τον χώρο των ψηφιακών πληρωμών στον Καναδά, με ευρύτερες προεκτάσεις για ολόκληρο το παγκόσμιο οικοσύστημα fintech. Η εφαρμογή μεταφοράς χρημάτων Duc, που ανήκει στην εταιρεία Duales με έδρα το Τορόντο, άφησε εκτεθειμένο στο διαδίκτυο server αποθήκευσης στην υποδομή cloud της Amazon, χωρίς κωδικό πρόσβασης και χωρίς κρυπτογράφηση.
Χιλιάδες έγγραφα ταυτοποίησης σε κοινή θέα
Σύμφωνα με τον ερευνητή κυβερνοασφάλειας Anurag Sen της CyPeace, ο δημόσια προσβάσιμος server εμφάνιζε περισσότερα από 360.000 αρχεία. Σε αυτά περιλαμβάνονταν αντίγραφα κυβερνητικών εγγράφων ταυτοποίησης χρηστών – άδειες οδήγησης, διαβατήρια, καθώς και selfies που χρησιμοποιούνται για τη διασταύρωση ταυτότητας στο πλαίσιο διαδικασιών «know your customer» (KYC).
Τα αρχεία χρονολογούνταν από τον Σεπτέμβριο του 2020 και συνέχιζαν να ανεβαίνουν καθημερινά, γεγονός που δείχνει μια μακροχρόνια και συστημική έκθεση. Επιπλέον, εντοπίστηκαν υπολογιστικά φύλλα με ονόματα πελατών, διευθύνσεις κατοικίας, αλλά και λεπτομέρειες συναλλαγών – ημερομηνίες, ώρες και ποσά.
Η πρόσβαση στα δεδομένα ήταν εφικτή απλώς γνωρίζοντας τη σχετικά εύκολα προβλέψιμη διεύθυνση του bucket της Amazon. Δεν απαιτούνταν κανενός είδους πιστοποίηση, ενώ η απουσία κρυπτογράφησης σήμαινε ότι όποιος αποκτούσε πρόσβαση μπορούσε να δει το περιεχόμενο σε πλήρη μορφή.
Αντίδραση της εταιρείας και ρυθμιστική πίεση
Η Duales προχώρησε στο κλείδωμα του server μετά την ενημέρωση από δημοσιογραφική έρευνα, ωστόσο ο διευθύνων σύμβουλος Henry Martinez González περιορίστηκε να χαρακτηρίσει την υποδομή ως «staging site», χωρίς να εξηγήσει γιατί πραγματικά δεδομένα πελατών βρίσκονταν σε περιβάλλον δοκιμών και μάλιστα εκτεθειμένα στο διαδίκτυο.
Παρά το ότι η πρόσβαση στα αρχεία μπλοκαρίστηκε, ο κατάλογος περιεχομένων του server παραμένει ορατός, γεγονός που εγείρει ερωτήματα για την πληρότητα της αποκατάστασης. Ο Martinez González δεν διευκρίνισε εάν η εταιρεία διαθέτει καταγραφές (logs) που θα επέτρεπαν να διαπιστωθεί ποιος και πόσοι ενδεχομένως κατέβασαν τα δεδομένα.
Το Γραφείο του Επιτρόπου Προστασίας Προσωπικών Δεδομένων του Καναδά δήλωσε ότι έχει έρθει σε επαφή με την εταιρεία για να συλλέξει περισσότερες πληροφορίες και να καθορίσει τα επόμενα βήματα, υποδηλώνοντας πιθανή ρυθμιστική διερεύνηση. Η υπόθεση εντάσσεται σε ένα ευρύτερο κύμα περιστατικών, όπου εταιρείες τεχνολογίας εκθέτουν ευαίσθητα δεδομένα λόγω λανθασμένων ρυθμίσεων σε υποδομές cloud, παρά τα πρόσθετα εργαλεία ασφαλείας που έχουν ενσωματώσει πάροχοι όπως η Amazon.
Δομικός κίνδυνος στο μοντέλο «ανέβασε το έγγραφό σου»
Η Duc App, η οποία επιτρέπει μεταφορές χρημάτων σε άλλους χρήστες, συμπεριλαμβανομένων διασυνοριακών συναλλαγών προς Κούβα και άλλες χώρες, έχει ξεπεράσει τις 100.000 λήψεις στο Android. Η υπόθεση δείχνει πόσο γρήγορα μπορεί να μετατραπεί ένα εργαλείο οικονομικής ένταξης σε εστία κινδύνου για κλοπή ταυτότητας, όταν η διαχείριση δεδομένων δεν ανταποκρίνεται σε ελάχιστα επαγγελματικά πρότυπα.
Δεν είναι μεμονωμένο περιστατικό: εφαρμογές όπως η TeaOnHer και πλατφόρμες όπως το Discord έχουν επίσης βρεθεί στο επίκεντρο αποκαλύψεων για διαρροές χιλιάδων διαβατηρίων και ταυτοτήτων που συλλέγονται για σκοπούς επαλήθευσης ηλικίας ή ταυτότητας. Το κοινό μοτίβο είναι η εκθετική αύξηση των απαιτήσεων για «ανέβασε το κυβερνητικό σου έγγραφο» χωρίς αντίστοιχη επένδυση σε αρχιτεκτονική ασφαλείας, διαδικασίες και κουλτούρα προστασίας δεδομένων.
Για τις ρυθμιστικές αρχές, αλλά και για τράπεζες και συνεργαζόμενους παρόχους, τέτοιες υποθέσεις δημιουργούν πλέον όχι μόνο ζήτημα συμμόρφωσης, αλλά και συστημικό κίνδυνο εμπιστοσύνης προς τις ψηφιακές χρηματοοικονομικές υπηρεσίες συνολικά.
Σχόλιο 
: Η υπόθεση Duc επιβεβαιώνει ότι η αδύναμη αλυσίδα στο fintech δεν είναι η τεχνολογία των πληρωμών, αλλά η διακυβέρνηση δεδομένων. Όσο εφαρμογές με διεθνές αποτύπωμα χειρίζονται διαβατήρια και άδειες οδήγησης σαν απλά αρχεία δοκιμών σε cloud buckets, ο κίνδυνος για μαζική κλοπή ταυτότητας και ξέπλυμα χρήματος θα αυξάνεται. Για τις ευρωπαϊκές και ελληνικές αρχές, είναι σαφές ότι οι έλεγχοι σε τρίτες fintech που διαχειρίζονται KYC για λογαριασμό τραπεζών πρέπει να γίνουν αυστηρότεροι, με πραγματικές κυρώσεις για όσους αντιμετωπίζουν την προστασία προσωπικών δεδομένων ως δευτερεύον κόστος.
#fintech #κυβερνοασφάλεια #προσωπικάΔεδομένα #cloud
