एक कनाडाई मनी ट्रांसफर ऐप ने हजारों संवेदनशील पहचान दस्तावेजों को खुले इंटरनेट पर उजागर कर दिया, जिससे किसी को भी बिना पासवर्ड के ड्राइवर के लाइसेंस, पासपोर्ट और ग्राहक डेटा तक पहुंचने की इजाजत मिल गई। आप्रवासी समुदायों की सेवा करने वाले एक फिनटेक स्टार्टअप डक ने अमेज़ॅन द्वारा होस्ट किए गए सर्वर को गलत तरीके से कॉन्फ़िगर किया था, जो सुरक्षा शोधकर्ताओं द्वारा उल्लंघन की खोज करने से पहले अज्ञात अवधि के लिए असुरक्षित रूप से बैठा था। यह घटना एक और हाई-प्रोफाइल एडब्ल्यूएस गलत कॉन्फ़िगरेशन मामले को चिह्नित करती है, जो फिनटेक क्षेत्र में क्लाउड सुरक्षा प्रथाओं के बारे में तत्काल सवाल उठाती है।
डुककनाडाई आप्रवासी समुदायों के बीच लोकप्रिय मनी ट्रांसफर ऐप, बुनियादी क्लाउड सुरक्षा को विफल करने वाला नवीनतम फिनटेक बन गया है। कंपनी ने छोड़ दिया एक वीरांगना वेब सेवा सर्वर पूरी तरह से उजागर हो गया, जिससे इंटरनेट एक्सेस वाले किसी भी व्यक्ति को ड्राइवर के लाइसेंस और पासपोर्ट सहित हजारों ग्राहक पहचान दस्तावेजों को ब्राउज़ करने की अनुमति मिल गई।
सुरक्षा शोधकर्ताओं द्वारा उल्लंघन की खोज की गई और विशेष रूप से रिपोर्ट की गई टेकक्रंच. परिष्कृत हैकिंग ऑपरेशनों के विपरीत, इस रिसाव के लिए शून्य तकनीकी कौशल की आवश्यकता थी – सर्वर बुनियादी पासवर्ड सुरक्षा के बिना भी खुला था। जो कोई भी इस पर ठोकर खाता है वह अपनी इच्छानुसार संवेदनशील व्यक्तिगत जानकारी डाउनलोड कर सकता है।
जो बात इसे विशेष रूप से चिंताजनक बनाती है वह है उजागर किए गए डेटा की प्रकृति। ड्राइवर के लाइसेंस और पासपोर्ट जैसे पहचान दस्तावेज़ धोखेबाजों के लिए प्रमुख लक्ष्य हैं, जो खाता अधिग्रहण से लेकर सिंथेटिक पहचान धोखाधड़ी तक सब कुछ सक्षम करते हैं। डक के ग्राहकों के लिए, जिनमें से कई परिवार के सदस्यों को अंतरराष्ट्रीय स्तर पर पैसा भेजने के लिए सेवा का उपयोग करते हैं, दांव असाधारण रूप से ऊंचे हैं।
कंपनी ने यह खुलासा नहीं किया है कि सर्वर कितने समय तक खुला रहा या कितने लोग प्रभावित हुए। वह समयरेखा बहुत मायने रखती है – हर दिन डेटा के असुरक्षित रहने से दुर्भावनापूर्ण अभिनेताओं द्वारा इसकी खोज करने और इसका शोषण करने की संभावना बढ़ जाती है। सुरक्षा विशेषज्ञ आम तौर पर मानते हैं कि उजागर डेटाबेस पहुंच योग्य होने के कुछ घंटों या दिनों के भीतर बुरे तत्वों द्वारा ढूंढ लिए जाते हैं।
यह सिर्फ एक डक समस्या नहीं है. यह फिनटेक कंपनियों द्वारा संग्रहीत ग्राहक डेटा को गलत तरीके से प्रबंधित करने के परेशान करने वाले पैटर्न में नवीनतम है . जबकि AWS मजबूत सुरक्षा उपकरण प्रदान करता है, उन सुरक्षा को ठीक से कॉन्फ़िगर करने की जिम्मेदारी पूरी तरह से ग्राहक पर आती है। कंपनियों को स्पष्ट रूप से एक्सेस नियंत्रण सेट करना होगा, एन्क्रिप्शन सक्षम करना होगा और नियमित रूप से अपनी सुरक्षा सेटिंग्स का ऑडिट करना होगा।
