加拿大汇款应用Duc因云服务器配置错误致大量用户证件信息暴露

加拿大金融科技公司Duales旗下的汇款应用Duc因亚马逊云存储服务器配置错误，导致大量用户个人数据在互联网上公开暴露。安全研究员Anurag Sen发现，该服务器无需密码即可通过浏览器访问，且数据未加密，包含超过36万份文件，涉及用户的驾照、护照、自拍等身份验证材料，以及姓名、家庭住址、交易日期、时间和详情等信息。文件可追溯至2020年9月，且每日仍有新文件上传。Duc应用在Google Play商店的下载量已超过10万次，主要提供向古巴等海外地区的汇款服务。TechCrunch于4月2日向Duales首席执行官Henry Martinez González通报后，公司于当日解决了数据暴露问题，但未解释为何测试环境中的客户信息会公开可访问，也未说明是否有技术手段确定数据访问情况。加拿大隐私专员办公室已联系该公司以获取更多信息并确定后续步骤。此类数据暴露事件并非个例，近年来多家企业因云服务器配置不当导致敏感数据泄露，尽管亚马逊已加强安全检查以防止此类情况发生。