Duc je izložio 360.000 dokumenata – i to bez lozinke
📷 © Tech&Space
- ★360.000 nezaštićenih datoteka na Amazonovom serveru
- ★Duales zakrpio propust tek nakon TechCrunchovog upozorenja
- ★Kanadski regulator već traži odgovore o zaštićenim podacima
Kanadska tvrtka Duales, iza aplikacije za novčane transfere Duc, ostavila je otvorenim Amazonov S3 bucket s 360.000 datoteka – uključujući tisuće vozačkih dozvola i putovnih isprava korisnika. Podaci nisu bili zaštićeni lozinkom ni šifrirani, a prema TechCrunchu, server je bio pristupačan svima tko je znao URL.
Dokumenti su se uploadali dnevno još od rujna 2020., što znači da je propust trajao barem tri godine prije nego što ga je primijetio sigurnosni istraživač. Problem nije bio u naprednoj hakerskoj tehnici, već u osnovnoj konfiguraciji: server je jednostavno bio postavljen na public umjesto na private.
To nije greška koju bi napravio startup u garži – Duales ima preko 100.000 preuzimanja na Google Playu i operira u reguliranom sektoru financijskih usluga. Pitanje je, dakle, ne toliko kako se ovo dogodilo, koliko zašto nitko nije provjeravao osnovne sigurnosne postavke godinama.
Reakcija tvrtke? Tek nakon TechCrunchovog kontakta, Duales je zakrpio propust i izdao saopćenje: „Sve zaštite su na mjestu.
Obavještavamo relevantne strane.“ No, Ured kanadske povjerenice za privatnost već je pokrenuo postupak – a to je signal da će ovdje biti manje o tehnološkom nego o poslovnom i pravnom riziku za tvrtku i njene korisnike.
📷 © Tech&Space
Pravi trošak brzog rasta: sigurnost kao poslovni rizik, ne tehnički detalj
Za korisnike Duca, ovaj incident nije samo teorijski problem. Izloženi dokumenti – vozačke dozvole, putovnice, možda i financijski podaci – predstavljaju konkretan rizik za krađu identiteta.
Iako Duales tvrdi da „nije ugrožena niti jedna transakcija“, pitanje je koliko će korisnika vjerovati tvrtki koja nije primijetila otvoreni server tri godine. Praksa pokazuje da takvi propusti često otkrivaju duboke probleme u kulturi sigurnosti, a ne samo pojedinačne greške.
Na tržištu novčanih transfera, gdje konkuriraju Wise, Revolut i lokalni igrači poput Paytena, Duc se do sada isticao brzinom i niskim naknadama. No, sigurnost nije feature koji se dodaje kasnije – to je osnova povjerenja.
Ako korisnici počnu migrirati zbog straha od rizika, trošak ovakvih propusta može nadmašiti uštede na razvoju. Forbes je već istakao da financijske tvrtke koje zanemare sigurnost gube do 20% korisnika nakon sličnih incidenata.
Najzanimljivije je što Duales nije mali igrač: ima regulacijske odobrenja, partnerstva s bankama i ambicije regionalne ekspanzije. Ako takva tvrtka propusti osnovne sigurnosne protokole, što onda očekivati od manjih konkurenta?
Kanadski regulator će vjerojatno nametnuti kazne, ali pravo pitanje je koliko će investitora i korisnika biti spremno riskirati s platformom koja je dokazala da sigurnost nije njen prioritet.
Korisnici Duca moraju biti svjesni rizika koji proizlaze iz ovog incidenta. Oni bi trebali preuzeti odgovornost za zaštitu svojih osobnih podataka i financijskih informacija. Također, regulatori moraju biti aktivni u zaštiti korisnika i nametanju kazni tvrtkama koje ne poštuju sigurnosne protokole.