概要
カナダのフィンテック企業 Duales 社が提供するマネートランスファー アプリ Duc のクラウド ストレージサーバーに、運転免許証やパスポートなどの個人情報が大量に漏洩していたことが明らかになりました。この問題はセキュリティ研究者 Anurag Sen 氏によって発見され、TechCrunch が Duales 社の最高経営責任者(CEO)に通知した結果、同社は迅速に対応を開始しました。
漏洩された情報
Duc アプリでは、ユーザーが本人確認のためにアップロードする政府発行のドキュメントや個人情報を含む36万件以上のファイルが、暗号化されていない状態で公開に晒されていました。これらのファイルには運転免許証、パスポート、およびユーザー自身による自撮り写真などが含まれていました。
問題の発見と対応
Anurag Sen 氏は、この漏洩を発見し TechCrunch に連絡しました。TechCrunch が Duales 社に通知した後、同社はデータへの公開アクセスを遮断しました。
影響範囲
Duc アプリでは、ユーザー間で資金の送受信を行う機能があり、キューバや他の地域での海外送金も可能です。Google Play ストア上では10万件以上のダウンロード数を記録しています。
原因と対策
Duales 社の CEO は、漏洩が発生したサーバーがテスト用サイトであることを説明しましたが、なぜ顧客情報が公開に晒される状態で保管されていたのか具体的な理由を明らかにしていません。
今後の対応
カナダのプライバシー規制当局は、Duales 社に対して詳細情報を求めていると発表しました。また、この問題はアプリやウェブサイトがユーザーに政府発行のドキュメントをアップロードさせることで本人確認を行う際のセキュリティ上の課題を浮き彫りにしています。