加拿大金融科技公司Duc App数据泄露事件：超36万份身份文件遭公开暴露

加拿大金融科技公司Duales旗下货币转账应用Duc App因配置错误，导致其托管于亚马逊云存储服务器上的超36万份用户身份文件（包括驾照、护照、自拍照及交易记录等）被公开暴露，无需密码即可通过浏览器访问。数据未加密，且存储于测试环境“staging site”中。

安全研究人员Anurag Sen在本周早些时候发现该漏洞，并联系TechCrunch以通知数据所有者。他指出，任何知道存储服务器易猜网络地址的用户均可直接浏览并下载数据。

据Sen称，该亚马逊托管存储服务器包含超过36万份政府颁发的身份文件及其他用户身份验证材料，用于“了解你的客户”（KYC）审查流程。文件中还包括用户上传的自拍照以证明真实身份。

TechCrunch无法确认暴露的驾照和护照确切数量，但多个文件夹内均包含数万份用户上传文件，样本中明确包含驾照、护照及自拍照。

Duales公司称，其应用允许用户向海外（包括古巴）转账，其安卓应用在Google Play商店的下载量已超过10万次。

暴露的文件时间跨度自2020年9月起，每日持续上传，内容还包括包含客户姓名、家庭住址及交易时间、详情的电子表格。

公司首席执行官Henry Martinez González在邮件中回应称，数据存储于“staging site”（测试环境），并称“所有保护措施均已到位”，公司正在通知相关方，但拒绝说明是否具备日志等技术手段追踪数据访问者。

TechCrunch联系公司后，存储服务器文件已无法访问，但文件列表仍可见。Duc App官网在周四短暂出现“bad gateway”错误。

目前尚不清楚Duales为何将亚马逊云存储服务器公开暴露于互联网。近年来，亚马逊已加强安全检查以防止用户误配置导致数据泄露，此前包括美国情报机构在内的多家大型组织曾因类似问题暴露敏感数据。

加拿大隐私专员办公室已表示，已联系该公司获取更多信息并确定后续步骤，但暂不进一步评论。

此次事件是近期多起用户身份数据泄露事件之一。去年，应用TeaOnHer和Discord也曾因用户上传身份文件而发生数据泄露，暴露出身份验证类应用在数据安全保护上的系统性风险。