Интернет-магазин подарочных карт в США заблокировал сервер онлайн-хранилища, который публично выкладывал в Интернет сотни тысяч документов, удостоверяющих личность клиентов, выданных правительством.
Исследователь безопасности, известный под ником JayeLTee, в конце прошлого года обнаружил общедоступный сервер хранения, содержащий водительские права, паспорта и другие документы, удостоверяющие личность, принадлежащие MyGiftCardSupply, компании, которая продает цифровые подарочные карты, которые клиенты могут обменять на популярные бренды и онлайн. услуги.
На веб-сайте MyGiftCardSupply говорится, что компания требует от клиентов загружать копии своих документов, удостоверяющих личность, в рамках усилий по обеспечению соблюдения правил США по борьбе с отмыванием денег, часто известных как проверки «знай своего клиента» или KYC.
Но сервер хранения файлов не имел пароля, что позволяло любому пользователю Интернета получить доступ к хранящимся внутри данным.
JayeLTee предупредил TechCrunch о разоблачении на прошлой неделе после того, как MyGiftCardSupply не ответил на электронное письмо исследователя о раскрытых данных.
Когда TechCrunch связался с основателем MyGiftCardSupply Сэмом Гастро, он подтвердил факт нарушения безопасности. «Теперь файлы в безопасности, и мы проводим полный аудит процедуры проверки KYC», — сказал Гастро. «В дальнейшем мы собираемся удалить файлы сразу после проверки личности».
Гастро не уточнил, как долго данные были доступны в Интернете, и при этом компания не взяла на себя обязательство уведомлять пострадавших лиц, чья информация осталась публичной. Гастро также не объяснил, почему MyGiftCardSupply в то время не ответил на электронное письмо исследователя и не устранил проблему безопасности.
По словам JayeLTee, раскрытые данные, размещенные в облаке Microsoft Azure, содержали более 600 000 передних и задних изображений документов, удостоверяющих личность, а также селфи-фотографий около 200 000 клиентов. Компании, проходящие проверку KYC, нередко просят своих клиентов сделать селфи, держа в руках копию своих документов, удостоверяющих личность, чтобы убедиться, что клиент тот, кем они себя называют, и отсеять подделки.
Последний загруженный на сервер документ датирован 31 декабря 2024 года, за день до того, как MyGiftCardSupply обеспечил безопасность открытого сервера. За предыдущие недели тысячи клиентов загрузили свои документы, удостоверяющие личность, что позволяет предположить, что сервер хранения активно использовался.
Это последний из длинного списка инцидентов и утечек данных за последние годы, связанных с документами, удостоверяющими личность, для проверок KYC, которые остаются одним из наиболее надежных методов проверки личности клиента.
В апреле прошлого года хакер заявил, что украл огромную базу данных проверки под названием World-Check, базу данных, используемую компаниями для определения того, подвергаются ли клиенты высокому риску или вовлечены в потенциальную преступную деятельность. Копия утекших данных показала, что база данных содержала имена, даты рождения, номера паспортов и социального страхования, а также номера банковских счетов.
JayeLTee отдельно сообщил в четверг об обнаружении еще одного тайника с раскрытыми документами KYC, в том числе около 320 000 паспортов и водительских прав, на сайте поиска соседей по комнате Roomster.
В своем блоге JayeLTee сообщила, что неясно, сколько именно людей пострадало от нарушения безопасности в Roomster, а ее генеральный директор Джон Шрайбер не ответил на электронное письмо TechCrunch с просьбой прокомментировать. В 2023 году Roomster обязали выплатить 1,6 миллиона долларов после жалобы Федеральной торговой комиссии на то, что она якобы обманывала миллионы своих пользователей путем публикации непроверенных объявлений и фейковых отзывов.
