Default
Door Remote - 02 Apr 2026
Dankzij een openbaar toegankelijke, door Amazon gehoste opslagserver kon iedereen met een webbrowser toegang krijgen tot de persoonlijke gegevens van potentieel honderdduizenden mensen zonder dat daarvoor een wachtwoord nodig was. Dit omvatte rijbewijzen, paspoorten en andere persoonlijke informatie verzameld door de Duc App, een geldoverdrachtservice die eigendom is van het in Toronto gevestigde Duales.
Het Canadese fintech-bedrijf zei dat het de gegevensblootstelling dinsdag had opgelost nadat TechCrunch zijn CEO had gewaarschuwd dat een van de cloudopslagservers van het bedrijf de inhoud ervan openbaar maakte, zonder wachtwoord.
De gegevens werden bovendien onversleuteld opgeslagen, waardoor iedereen met een link naar de gegevens deze volledig kon bekijken.
Anurag Sen, een beveiligingsonderzoeker bij CyPeace die eerder deze week het beveiligingslek ontdekte, nam contact op met TechCrunch in een poging de eigenaar van de gegevens op de hoogte te stellen. Sen zei dat iedereen de gegevens via zijn browser kon bekijken en downloaden door het gemakkelijk te raden webadres van de opslagserver te kennen.
Volgens Sen bevatte de door Amazon gehoste opslagserver meer dan 360.000 bestanden met door de overheid uitgegeven documenten en andere informatie die door klanten werd gebruikt om hun identiteit te verifiëren via ‘ken uw klant’-controles. Deze bestanden bevatten door gebruikers geüploade selfies om hun gelijkenis in de echte wereld te bewijzen.
TechCrunch kon het precieze aantal blootgestelde rijbewijzen en paspoorten niet vaststellen; Verschillende mappen in de blootgestelde bucket bevatten echter elk tienduizenden door gebruikers geüploade bestanden, waarvan een voorbeeld rijbewijzen, paspoorten en selfies bevatte.
Duales prijst zijn app aan als een manier voor gebruikers om geld naar andere gebruikers te sturen, ook in het buitenland in Cuba en elders. De vermelding van de Android-app in de Google Play App Store toont tot nu toe meer dan 100.000 gebruikersdownloads.
De bestanden, die dateerden uit september 2020 en dagelijks werden geüpload, bevatten ook spreadsheets met de namen van klanten, thuisadressen en de datums, tijden en details van hun transacties.
Toen hij per e-mail werd bereikt, vertelde Henry Martinez González, CEO van Duales, aan TechCrunch dat de gegevens waren opgeslagen op een ‘staging-site’, verwijzend naar een website die voornamelijk voor testen werd gebruikt, maar legde niet uit waarom de persoonlijke informatie van klanten publiekelijk toegankelijk was in dezelfde database.
“Alle bescherming is aanwezig”, zei Martinez González. "We brengen de juiste partijen op de hoogte. We hebben geen diensten van u gecontracteerd."
Nadat TechCrunch het bedrijf een e-mail had gestuurd, werden de bestanden op de opslagserver ontoegankelijk gemaakt, hoewel een lijst met de inhoud van de server nog steeds zichtbaar is.
Martinez González wil niet zeggen of het bedrijf over de technische middelen beschikt, zoals logs, om te bepalen wie of hoeveel mensen toegang hebben gehad tot de gegevens.
De website van Duc App was donderdag kort offline en gaf de foutmelding ‘bad gateway’ weer.
Het is niet duidelijk hoe en om welke reden Duales zijn door Amazon gehoste opslagserver publiekelijk open heeft gelaten voor internet. De afgelopen jaren heeft Amazon beveiligingscontroles toegevoegd om te voorkomen dat gebruikers onbedoeld hun gegevens op internet openbaar maken na een reeks spraakmakende incidenten waarbij verschillende bedrijfsgiganten, waaronder een Amerikaans spionagebureau, gevoelige gegevens op het internet publiceerden vanwege verkeerde configuraties.
Toen TechCrunch contact opnam met de eigenaar van de app, zei de Canadese privacytoezichthouder dat hij meer informatie van het bedrijf zocht.
“Het Office of the Privacy Commissioner of Canada heeft contact opgenomen met het bedrijf om meer informatie te verkrijgen en de volgende stappen te bepalen”, vertelde een woordvoerder van de toezichthouder per e-mail aan TechCrunch, maar weigerde verder commentaar te geven.
Duc App is de nieuwste app in een lijst met recente beveiligingslekken waarbij gevoelige identiteitsgegevens van anderen openbaar zijn gemaakt. Deze gegevensblootstelling komt doordat apps en websites hun gebruikers steeds vaker verplichten om door de overheid uitgegeven documenten te uploaden om te verifiëren wie ze zeggen dat ze zijn, maar zonder voldoende stappen te ondernemen om de gegevens die ze verzamelen te beveiligen.
Vorig jaar heeft de populaire app TeaOnHer duizenden paspoorten en rijbewijzen van zijn gebruikers openbaar gemaakt, die gebruikers volgens de app moesten uploaden voordat ze toegang kregen tot de besloten community van de app. Discord bevestigde vorig jaar ook een datalek dat betrekking had op ongeveer 70.000 door de overheid uitgegeven documenten die waren geüpload door gebruikers die hun leeftijd wilden verifiëren, te midden van een wereldwijde inspanning om wetten voor online leeftijdscontrole in te voeren.
Het Canadese fintech-bedrijf zei dat het de gegevensblootstelling dinsdag had opgelost nadat TechCrunch zijn CEO had gewaarschuwd dat een van de cloudopslagservers van het bedrijf de inhoud ervan openbaar maakte, zonder wachtwoord.
De gegevens werden bovendien onversleuteld opgeslagen, waardoor iedereen met een link naar de gegevens deze volledig kon bekijken.
Anurag Sen, een beveiligingsonderzoeker bij CyPeace die eerder deze week het beveiligingslek ontdekte, nam contact op met TechCrunch in een poging de eigenaar van de gegevens op de hoogte te stellen. Sen zei dat iedereen de gegevens via zijn browser kon bekijken en downloaden door het gemakkelijk te raden webadres van de opslagserver te kennen.
Volgens Sen bevatte de door Amazon gehoste opslagserver meer dan 360.000 bestanden met door de overheid uitgegeven documenten en andere informatie die door klanten werd gebruikt om hun identiteit te verifiëren via ‘ken uw klant’-controles. Deze bestanden bevatten door gebruikers geüploade selfies om hun gelijkenis in de echte wereld te bewijzen.
TechCrunch kon het precieze aantal blootgestelde rijbewijzen en paspoorten niet vaststellen; Verschillende mappen in de blootgestelde bucket bevatten echter elk tienduizenden door gebruikers geüploade bestanden, waarvan een voorbeeld rijbewijzen, paspoorten en selfies bevatte.
Duales prijst zijn app aan als een manier voor gebruikers om geld naar andere gebruikers te sturen, ook in het buitenland in Cuba en elders. De vermelding van de Android-app in de Google Play App Store toont tot nu toe meer dan 100.000 gebruikersdownloads.
De bestanden, die dateerden uit september 2020 en dagelijks werden geüpload, bevatten ook spreadsheets met de namen van klanten, thuisadressen en de datums, tijden en details van hun transacties.
Toen hij per e-mail werd bereikt, vertelde Henry Martinez González, CEO van Duales, aan TechCrunch dat de gegevens waren opgeslagen op een ‘staging-site’, verwijzend naar een website die voornamelijk voor testen werd gebruikt, maar legde niet uit waarom de persoonlijke informatie van klanten publiekelijk toegankelijk was in dezelfde database.
“Alle bescherming is aanwezig”, zei Martinez González. "We brengen de juiste partijen op de hoogte. We hebben geen diensten van u gecontracteerd."
Nadat TechCrunch het bedrijf een e-mail had gestuurd, werden de bestanden op de opslagserver ontoegankelijk gemaakt, hoewel een lijst met de inhoud van de server nog steeds zichtbaar is.
Martinez González wil niet zeggen of het bedrijf over de technische middelen beschikt, zoals logs, om te bepalen wie of hoeveel mensen toegang hebben gehad tot de gegevens.
De website van Duc App was donderdag kort offline en gaf de foutmelding ‘bad gateway’ weer.
Het is niet duidelijk hoe en om welke reden Duales zijn door Amazon gehoste opslagserver publiekelijk open heeft gelaten voor internet. De afgelopen jaren heeft Amazon beveiligingscontroles toegevoegd om te voorkomen dat gebruikers onbedoeld hun gegevens op internet openbaar maken na een reeks spraakmakende incidenten waarbij verschillende bedrijfsgiganten, waaronder een Amerikaans spionagebureau, gevoelige gegevens op het internet publiceerden vanwege verkeerde configuraties.
Toen TechCrunch contact opnam met de eigenaar van de app, zei de Canadese privacytoezichthouder dat hij meer informatie van het bedrijf zocht.
“Het Office of the Privacy Commissioner of Canada heeft contact opgenomen met het bedrijf om meer informatie te verkrijgen en de volgende stappen te bepalen”, vertelde een woordvoerder van de toezichthouder per e-mail aan TechCrunch, maar weigerde verder commentaar te geven.
Duc App is de nieuwste app in een lijst met recente beveiligingslekken waarbij gevoelige identiteitsgegevens van anderen openbaar zijn gemaakt. Deze gegevensblootstelling komt doordat apps en websites hun gebruikers steeds vaker verplichten om door de overheid uitgegeven documenten te uploaden om te verifiëren wie ze zeggen dat ze zijn, maar zonder voldoende stappen te ondernemen om de gegevens die ze verzamelen te beveiligen.
Vorig jaar heeft de populaire app TeaOnHer duizenden paspoorten en rijbewijzen van zijn gebruikers openbaar gemaakt, die gebruikers volgens de app moesten uploaden voordat ze toegang kregen tot de besloten community van de app. Discord bevestigde vorig jaar ook een datalek dat betrekking had op ongeveer 70.000 door de overheid uitgegeven documenten die waren geüpload door gebruikers die hun leeftijd wilden verifiëren, te midden van een wereldwijde inspanning om wetten voor online leeftijdscontrole in te voeren.