INTRODUÇÃO: Um servidor de armazenamento em nuvem da Amazon, configurado sem proteção por senha e sem criptografia, expôs publicamente dados pessoais de centenas de milhares de usuários do aplicativo de transferência de dinheiro Duc App, propriedade da fintech canadense Duales. A falha de segurança, descoberta pelo pesquisador Anurag Sen, permitia que qualquer pessoa com um navegador e o endereço web do servidor acessasse documentos sensíveis, incluindo carteiras de motorista, passaportes e selfies de verificação.
DESENVOLVIMENTO: A exposição envolveu mais de 360 mil arquivos contendo documentos governamentais e informações usadas em verificações de identidade "conheça seu cliente". Os dados, que datavam de setembro de 2020 e eram atualizados diariamente, também incluíam planilhas com nomes, endereços residenciais e detalhes de transações dos clientes. A Duales resolveu o problema na terça-feira, após ser alertada pela TechCrunch, mas a falta de criptografia significava que qualquer pessoa com o link podia visualizar os dados integralmente. O aplicativo, que tem mais de 100 mil downloads na Google Play, é promovido como uma solução para envio de dinheiro, inclusive para Cuba.
CONCLUSÃO: Este incidente destaca riscos críticos de segurança em serviços financeiros digitais, onde falhas de configuração em infraestrutura de nuvem podem levar a vazamentos massivos de dados sensíveis. A exposição prolongada e desprotegida de informações pessoais sublinha a necessidade urgente de práticas robustas de segurança cibernética e monitoramento contínuo por empresas que lidam com dados de clientes.
