موقع تحويل الأموال الرائد “دوك” يكشف عن تسريب بيانات جواز السفر ورخص القيادة الخاصة بالمستخدمين عبر الإنترنت

كشف تطبيق “دوك” عن تسريب غير مشفر لبيانات أكثر من 360 ألف عميل

تعرّض تطبيق “دوك”، وهو مزود خدمة تحويل أموال كندي، لعملية تسريب واسعة للبيانات الحساسة لعملائه، مما سمح لأي شخص يمتلك اتصالاً بالإنترنت ومتصفحًا بالوصول إليها بسهولة. وقد اكتشف باحث أمني من شركة CyPeace أن هناك خادم تخزين على منصة أمازون يضم بيانات حساسة لعدد كبير من المستخدمين.

تفاصيل البيانات التي تم تسريبها

شملت البيانات المسربة أسماء المستخدمين، وعناوين سكنهم، بالإضافة إلى تفاصيل المعاملات التي أجرواها، بما في ذلك التواريخ والأوقات والمبالغ. كما احتوت على نسخ من رخص القيادة، جوازات السفر، وغيرها من الوثائق التي تم جمعها خلال عملية التحقق من هوية العميل (KYC).

كيفية اكتشاف التسريب وإغلاقه

أشار الباحث أن الخادم كان يعرض أكثر من 360 ألف ملف، جميعها غير مشفرة ومتاحة لأي شخص يعرف مكان الوصول إليها. بعد اكتشاف الثغرة، تواصل مع شركة “TechCrunch” لمساعدتها في الاتصال بمالكي تطبيق “دوك”، وهي شركة تُعرف باسم “Duales”. وبعد التواصل، قام فريق الشركة بسرعة بإغلاق قاعدة البيانات لحمايتها من أي وصول غير مصرح به.

تصريحات الشركة وبياناتها

ذكر المدير التنفيذي لشركة “Duales”، ماركيتز غونزاليس، في بيان عبر البريد الإلكتروني أن البيانات كانت مخزنة على “موقع تجريبي”، وهو غالبًا ما يُستخدم للاختبار، لكنه لم يوضح سبب عدم حماية قاعدة البيانات بشكل صحيح. وأضاف أن جميع التدابير الأمنية الضرورية قد تم اتخاذها وأنهم بصدد إخطار الجهات المعنية، مؤكدًا أنهم لم يتعاقدوا مع أي جهة خارجية بخصوص الأمر.

هل تم استغلال البيانات من قبل طرف ثالث؟

لا يمكن التأكد حالياً إذا كان أحد المتسللين استغل الثغرة قبل أن يكتشفها الباحث، لكن من المعروف أن مجرمي الإنترنت يراقبون الشبكة باستمرار للعثور على قواعد بيانات مكشوفة كهذه، مما يزيد من خطر استخدامها لأغراض خبيثة.

أهمية حماية البيانات في السحابة

تُعد أخطاء التكوين في الخدمات السحابية من الأسباب الرئيسية لتسريب البيانات، حيث يعتقد الكثيرون أن مسؤولية تأمين البيانات تقع بشكل رئيسي على مزود الخدمة، وهو اعتقاد خاطئ. من الضروري أن تتبع الشركات أفضل الممارسات لضمان حماية معلومات العملاء.

ختامًا، يُبرز هذا الحادث الحاجة الماسة لتعزيز إجراءات الأمان الإلكتروني والتأكد من عدم وجود ثغرات في قواعد البيانات، خاصة تلك التي تحتوي على معلومات حساسة وبيانات شخصية للعملاء.