Uma loja de cartões-presente on-line dos EUA garantiu um servidor de armazenamento on-line que expôs publicamente à Internet centenas de milhares de documentos de identificação emitidos pelo governo de seus clientes.
Um pesquisador de segurança que usa o identificador online. JayeLTeeencontrou o servidor de armazenamento exposto publicamente no final do ano passado contendo carteiras de motorista, passaportes e outros documentos de identificação pertencentes à MyGiftCardSupply, uma empresa que vende cartões-presente digitais para clientes resgatarem em marcas populares e serviços online.
O site MyGiftCardSupply afirma que exige que os clientes carreguem uma cópia de seus documentos de identificação como parte de seus esforços de conformidade com as regras de combate à lavagem de dinheiro dos EUA, geralmente conhecidas como controles “conheça seu cliente”, ou KYC.
Mas o servidor de armazenamento que continha os arquivos não tinha senha, permitindo que qualquer pessoa na Internet acessasse os dados armazenados nele.
JayeLTee alertou o TechCrunch sobre a exposição na semana passada, depois que MyGiftCardSupply não respondeu ao e-mail do pesquisador sobre os dados expostos.
Quando contatado pelo TechCrunch, o fundador do MyGiftCardSupply, Sam Gastro, confirmou a falha de segurança. “Os arquivos agora estão seguros e estamos conduzindo uma auditoria completa do procedimento de verificação KYC”, disse Gastro. “No futuro, excluiremos os arquivos imediatamente após realizar a verificação de identidade.”
A Gastro não informou por quanto tempo os dados ficaram expostos na Internet, nem a empresa se comprometeu a notificar as pessoas afetadas cujas informações foram divulgadas publicamente. Gastro também não explicou por que o MyGiftCardSupply não respondeu ao e-mail do pesquisador nem corrigiu a falha de segurança naquele momento.
De acordo com JayeLTee, os dados expostos, hospedados na nuvem Azure da Microsoft, continham mais de 600 mil imagens frontais e traseiras de cartões de identificação e selfies de cerca de 200 mil clientes. Não é incomum que empresas sujeitas a verificações KYC peçam a seus clientes que tirem uma selfie enquanto seguram uma cópia de seus documentos de identificação para verificar se o cliente é quem dizem ser e para eliminar falsificações.
O documento mais recente carregado no servidor data de 31 de dezembro de 2024, um dia antes de MyGiftCardSupply proteger o servidor exposto. Milhares de clientes enviaram seus IDs nas semanas anteriores, sugerindo que o servidor de armazenamento foi usado ativamente.
Este é o último de um longa lista de incidentes e violações de dados nos últimos anos, envolve documentos de identidade para verificações KYC, que continua a ser uma das técnicas mais confiáveis para verificar a identidade de um cliente.
Em abril passado, um hacker afirmou ter Banco de dados de triagem em massa chamado World-Check roubadoum banco de dados usado pelas empresas para determinar se os clientes são de alto risco ou estão envolvidos em crimes potenciais. Uma cópia dos dados vazados mostrou que o banco de dados continha nomes, datas de nascimento, números de passaporte e seguro social e números de contas bancárias.
JayeLTee relatado separadamente na quinta-feira encontre outro cache de documentos KYC expostos, incluindo cerca de 320.000 passaportes e carteiras de motorista, no site de correspondência de colegas de quarto Roomster. Em uma postagem no blog, JayeLTee disse que não estava claro exatamente quantas pessoas foram afetadas pela falha de segurança no Roomster.
O CEO John Shriber não respondeu ao e-mail do TechCrunch solicitando comentários. Em comunicado fornecido pelo conselheiro geral da Roomster, Charles Brofman, após a publicação, a empresa disse que “não tem razão para acreditar que alguém tenha hackeado a pasta ou que alguém tenha acessado os dados e os tenha usado de forma desastrosa”.
O anfitrião era Em 2023, ele foi condenado a pagar US$ 1,6 milhão. após uma reclamação da Comissão Federal de Comércio por supostamente fraudar milhões de seus usuários ao publicar listagens não verificadas e avaliações falsas.
Atualizado com declaração Roomster.
