Introduction
L'application de transfert d'argent canadienne Duc a exposé des données sensibles, notamment des permis de conduire et des passeports, sur un serveur d'Amazon accessible publiquement. Cette faille de sécurité a permis à quiconque ayant un navigateur web d'accéder à des informations personnelles sans mot de passe.
Contexte Technique
Le serveur d'Amazon, utilisé par l'application Duc, contenait plus de 360 000 fichiers avec des documents gouvernementaux et d'autres informations utilisées pour vérifier l'identité des utilisateurs. Les données étaient stockées sans chiffrement, ce qui signifie que quiconque ayant accès au lien pouvait les visualiser en entier.
La société mère de l'application, Duales, a déclaré avoir résolu la faille de sécurité après avoir été alertée par TechCrunch. Cependant, la société n'a pas expliqué pourquoi les informations personnelles des clients étaient accessibles publiquement sur le même serveur.
Analyse et Implications
Cette faille de sécurité souligne les risques liés à la collecte et au stockage de données sensibles par les applications et les sites web. Les utilisateurs sont de plus en plus souvent invités à télécharger leurs documents gouvernementaux pour vérifier leur identité, mais les entreprises ne prennent pas toujours les mesures nécessaires pour sécuriser ces données.
La Commission d'accès à l'information du Canada a déclaré qu'elle avait contacté l'entreprise pour obtenir plus d'informations et déterminer les prochaines étapes. Cette faille de sécurité est la dernière en date d'une série d'incidents similaires impliquant l'exposition de données sensibles.
Perspective
Il est essentiel pour les entreprises de prendre des mesures pour sécuriser les données sensibles qu'elles collectent, notamment en utilisant des méthodes de chiffrement et en limitant l'accès aux données. Les utilisateurs doivent également être conscients des risques liés à la téléchargement de leurs documents gouvernementaux sur des applications et des sites web.
