Ein US-amerikanischer Online-Shop für Geschenkkarten sicherte einen Online-Speicherserver, der die von der Regierung ausgestellten Ausweisdokumente Hunderttausender Kunden öffentlich im Internet zugänglich machte.
Ein Sicherheitsforscher, der unter dem Online-Namen bekannt ist JayeLTeeentdeckte Ende letzten Jahres einen öffentlich zugänglichen Speicherserver mit Führerscheinen, Reisepässen und anderen Ausweisdokumenten von MyGiftCardSupply, einem Unternehmen, das digitale Geschenkkarten verkauft, die Kunden bei beliebten Marken und Online-Diensten einlösen können.
Auf der MyGiftCardSupply-Website heißt es, dass Kunden im Rahmen ihrer Bemühungen zur Einhaltung der US-amerikanischen Anti-Geldwäsche-Vorschriften, allgemein bekannt als „Know Your Customer“ oder KYC-Checks, eine Kopie ihrer Ausweisdokumente hochladen müssen.
Doch der Speicherserver, auf dem sich die Dateien befanden, verfügte über kein Passwort, sodass jeder im Internet auf die darauf gespeicherten Daten zugreifen konnte.
JayeLTee machte TechCrunch letzte Woche auf die Offenlegung aufmerksam, nachdem MyGiftCardSupply nicht auf die E-Mail des Forschers bezüglich der offengelegten Daten geantwortet hatte.
Auf Anfrage von TechCrunch bestätigte MyGiftCardSupply-Gründer Sam Gastro die Sicherheitslücke. „Die Dateien sind jetzt sicher und wir führen eine vollständige Prüfung des KYC-Verifizierungsverfahrens durch“, sagte Gastro. „In Zukunft werden wir Dateien sofort nach der Identitätsprüfung löschen.“
Gastro gab weder an, wie lange die Daten im Internet offengelegt wurden, noch verpflichtete sich das Unternehmen, betroffene Personen zu benachrichtigen, deren Informationen öffentlich blieben. Gastro ging auch nicht darauf ein, warum MyGiftCardSupply damals nicht auf die E-Mail des Forschers reagierte oder die Sicherheitslücke behob.
Laut JayeLTee enthielten die offengelegten Daten – gehostet in der Azure-Cloud von Microsoft – mehr als 600.000 Vorder- und Rückseitenbilder von Ausweisdokumenten sowie Selfie-Fotos von rund 200.000 Kunden. Es ist nicht ungewöhnlich, dass Unternehmen, die KYC-Prüfungen unterliegen, ihre Kunden bitten, ein Selfie zu machen und dabei eine Kopie ihrer Ausweisdokumente in der Hand zu halten, um zu überprüfen, ob es sich bei dem Kunden um die Person handelt, für die sie sich ausgeben Eliminieren Sie Fälschungen.
Das zuletzt auf den Server hochgeladene Dokument war vom 31. Dezember 2024, einen Tag bevor MyGiftCardSupply den offengelegten Server sicherte. Tausende Kunden haben in den letzten Wochen ihre Ausweisdokumente eingereicht, was darauf hindeutet, dass der Speicherserver aktiv genutzt wurde.
Dies ist das Neueste in einem Lange Liste von Vorfällen Und Datenschutzverletzungen In den letzten Jahren wurden Ausweisdokumente für KYC-Prüfungen verwendet, was nach wie vor eine der am häufigsten verwendeten Techniken zur Überprüfung der Identität eines Kunden ist.
Im vergangenen April behauptete ein Hacker, dies getan zu haben hat eine riesige Screening-Datenbank namens World-Check gestohlenEine Datenbank, die von Unternehmen verwendet wird, um festzustellen, ob Kunden ein hohes Risiko darstellen oder in mögliche Kriminalität verwickelt sind. Eine Kopie der durchgesickerten Daten zeigte, dass die Datenbank Namen, Geburtsdaten, Pass- und Sozialversicherungsnummern sowie Bankkontonummern enthielt.
JayeLTee darüber wurde am Donnerstag gesondert berichtet Finden Sie einen weiteren Cache offengelegter KYC-Dokumente, darunter rund 320.000 Pässe und Führerscheine, auf der Mitbewohner-Suchseite Roomster.
In einem Blogbeitrag sagte JayeLTee, es sei unklar, wie viele Menschen genau von der Roomster-Sicherheitslücke betroffen seien, und sein CEO, John Shriber, antwortete nicht auf die E-Mail von TechCrunch mit der Bitte um einen Kommentar. Der Gastgeber war im Jahr 2023 zur Zahlung von 1,6 Millionen US-Dollar verurteilt nach einer Beschwerde der Federal Trade Commission, die angeblich Millionen ihrer Nutzer durch die Veröffentlichung unbestätigter Einträge und gefälschter Bewertungen betrogen hat.
