Онлайн-магазин подарочных карт в США защитил онлайн-хранилище данных, которое публично выставило на обозрение сотни тысяч документов, подтверждающих личность клиентов, в интернете.
Исследователь по безопасности, известный под никнеймом JayeLTee, обнаружил публично доступное хранилище данных в прошлом году, содержащее водительские удостоверения, паспорта и другие документы, подтверждающие личность, принадлежащие компании MyGiftCardSupply, которая продает цифровые подарочные карты, которые клиенты могут использовать в популярных брендах и онлайн-сервисах.
Однако сервер хранения, содержащий файлы, не имел пароля, что позволило любому пользователю в интернете получить доступ к хранимым данным.
JayeLTee проинформировал TechCrunch об этом инциденте на прошлой неделе, после того как MyGiftCardSupply не отреагировала на электронное письмо исследователя об обнаружении уязвимости.
Когда TechCrunch обратился к основателю MyGiftCardSupply Сэму Гастро, он подтвердил нарушение безопасности. "Файлы сейчас защищены, и мы проводим полную проверку процедуры верификации KYC," - сказал Гастро. "Впредь мы будем удалять файлы незамедлительно после прохождения процедуры идентификации личности."
Гастро не сказал, как долго данные были выставлены в интернет, и компания не собирается информировать о нарушении затронутых лиц, чья информация была обнародована. Гастро также не ответил на вопрос, почему MyGiftCardSupply не ответила на письмо исследователя или не устранила нарушение безопасности вовремя.
По словам JayeLTee, обнаруженные данные - размещенные в облачном хранилище Microsoft Azure - содержат более 600 000 изображений передних и задних частей документов, подтверждающих личность, и селфи более 200 000 клиентов. Не редко компании, проходящие проверку KYC, просят своих клиентов сделать селфи, держа копию их документов, подтверждающих личность, чтобы проверить, что клиент является тем, кем он себя называет, и выявить поддельные документы.
Самым последним загруженным документом на сервере, датированным 31 декабря 2024 года, стал следующий день после того, как MyGiftCardSupply защитила сервер. Тысячи клиентов загрузили свои документы, подтверждающие личность, в предшествующие недели, что говорит о активном использовании хранилища данных.
Это последнее в длинном списке инцидентов и утечек данных в последние годы, касающихся документов, подтверждающих личность для проверки KYC, которая остается одним из самых надежных методов проверки личности клиента.
В апреле прошлого года хакер утверждал, что взломал огромную базу данных под названием World-Check, используемую компаниями для определения риска клиента или его причастности к потенциальной преступности. Копия утекших данных показала, что в базе данных содержатся ФИО, даты рождения, паспортные данные и номера Социального страхования, а также номера банковских счетов.
JayeLTee отдельно сообщил в четверг о нахождении еще одного кэша обнаженных документов KYC, включая около 320 000 паспортов и водительских удостоверений с сайта поиска соседа по комнате Roomster.
В своем блоге JayeLTee написал, что не совсем ясно, сколько человек пострадали от нарушения безопасности на Roomster, и его генеральный директор Джон Шрайбер не ответил на электронное письмо TechCrunch с запросом о комментариях. В 2023 году Roomster было приказано выплатить $1,6 миллиона в результате жалобы Федеральной торговой комиссии по обвинению в мошенничестве миллионов пользователей путем размещения непроверенных объявлений и фальшивых отзывов.
