Una grave falla di sicurezza ha colpito Duc App, il servizio di trasferimento di denaro della fintech canadese Duales. Un server Amazon, erroneamente configurato e accessibile sul web, ha esposto centinaia di migliaia di documenti personali, tra cui patenti, passaporti e selfie degli utenti, raccolti per le verifiche di identità (know your customer). L'accesso non era protetto da password e i file erano memorizzati in chiaro, rendendoli visibili a chiunque conoscesse l'indirizzo web.
Scoperta e risoluzione
La vulnerabilità è stata individuata dal ricercatore Anurag Sen di CyPeace, che ha segnalato il problema a TechCrunch.
Il server era pubblicamente indicizzato e accessibile. Dopo l'allerta, la società ha risolto la falla, chiudendo l'accesso.
L'entità dell'esposizione
Si stima che il bucket Amazon contenesse oltre 360.000 file, inclusi documenti governativi e altri dati sensibili per la verifica dell'identità. Sebbene non sia stato possibile determinare il numero esatto di patenti o passaporti esposti, diverse cartelle contenevano decine di migliaia di tali file, insieme a selfie.
Contesto aziendale e dichiarazioni
Duc App, di proprietà di Duales (Toronto), è un'applicazione per il trasferimento di denaro con oltre 100.000 download. Il CEO Henry Martinez González ha dichiarato che la piattaforma esposta era un "sito di staging" per test, senza chiarire l'accessibilità pubblica dei dati sensibili.
Non è stato specificato se l'azienda disponga di strumenti per tracciare gli accessi.
Reazione delle autorità
L'Office of the Privacy Commissioner of Canada ha avviato un'indagine, contattando Duales per maggiori informazioni e per definire le azioni a tutela dei dati personali. Questa iniziativa rientra nelle procedure standard per le violazioni della privacy.
Sicurezza nel fintech: una sfida cruciale
Il caso Duc App evidenzia un rischio crescente nel settore fintech. La richiesta di documenti ufficiali per la verifica dell'identità espone gli utenti a potenziali fughe di dati se le piattaforme non adottano adeguate misure di sicurezza (crittografia, configurazioni cloud robuste). Precedenti episodi (TeaOnHer, Discord) sottolineano l'urgenza di rafforzare le protezioni.
La conformità normativa (KYC) impone la protezione dei dati tramite misure tecniche avanzate. Distinguere ambienti di test da quelli produttivi è cruciale. La fiducia degli utenti nei servizi digitali è fondamentale; incidenti di questo tipo ne compromettono la percezione, rendendo indispensabile un rafforzamento strutturale della sicurezza, specie nella verifica dell'identità.
