كشف متجر بطاقات الهدايا عبر الإنترنت عن مئات الآلاف من وثائق هوية الأشخاص

قام أحد متاجر بطاقات الهدايا عبر الإنترنت في الولايات المتحدة بتأمين خادم تخزين عبر الإنترنت كان يعرض علنًا مئات الآلاف من مستندات هوية العملاء الصادرة عن الحكومة على الإنترنت.

اكتشف باحث أمني، يستخدم المعرف الإلكتروني JayeLTee، خادم التخزين المكشوف للعامة في أواخر العام الماضي والذي يحتوي على رخص القيادة وجوازات السفر ووثائق الهوية الأخرى التابعة لشركة MyGiftCardSupply، وهي شركة تبيع بطاقات الهدايا الرقمية للعملاء لاستردادها في العلامات التجارية الشهيرة و الخدمات عبر الإنترنت.

يقول موقع MyGiftCardSupply إنه يطلب من العملاء تحميل نسخة من وثائق الهوية الخاصة بهم كجزء من جهود الامتثال لقواعد مكافحة غسيل الأموال الأمريكية، والتي تُعرف غالبًا باسم فحوصات “اعرف عميلك”، أو KYC.

لكن خادم التخزين الذي يحتوي على الملفات لم يكن لديه كلمة مرور، مما يسمح لأي شخص على الإنترنت بالوصول إلى البيانات المخزنة بداخله.

نبهت JayeLTee TechCrunch إلى التعرض الأسبوع الماضي بعد أن لم يستجب MyGiftCardSupply لرسالة البريد الإلكتروني للباحث حول البيانات المكشوفة.

وعندما تواصل موقع TechCrunch مع مؤسس MyGiftCardSupply، سام غاسترو، أكد الثغرة الأمنية. قال غاسترو: “الملفات آمنة الآن، ونحن نقوم بمراجعة كاملة لإجراءات التحقق من KYC”. “من الآن فصاعدا، سنقوم بحذف الملفات على الفور بعد التحقق من الهوية.”

ولم تذكر شركة Gastro المدة التي تم فيها عرض البيانات على الإنترنت، ولن تلتزم الشركة بإخطار الأفراد المتضررين الذين تركت معلوماتهم للعامة. ولم يتطرق Gastro أيضًا إلى سبب عدم رد MyGiftCardSupply على البريد الإلكتروني للباحث أو معالجة الثغرة الأمنية في ذلك الوقت.

وفقًا لـ JayeLTee، فإن البيانات المكشوفة – المستضافة على سحابة Microsoft Azure – تحتوي على أكثر من 600000 صورة أمامية وخلفية لمستندات الهوية وصور شخصية لحوالي 200000 عميل. ليس من غير المألوف أن تطلب الشركات الخاضعة لفحوصات “اعرف عميلك” من عملائها التقاط صورة ذاتية أثناء الاحتفاظ بنسخة من وثائق الهوية الخاصة بهم للتحقق من أن العميل هو من يقولون إنهم، وللتخلص من عمليات التزوير.

أحدث مستند تم تحميله على الخادم كان بتاريخ 31 ديسمبر 2024، أي قبل يوم واحد من قيام MyGiftCardSupply بتأمين الخادم المكشوف. وقام آلاف العملاء بتحميل وثائق الهوية الخاصة بهم في الأسابيع السابقة، مما يشير إلى استخدام خادم التخزين بشكل نشط.

هذا هو الأحدث في قائمة طويلة من الحوادث وانتهاكات البيانات في السنوات الأخيرة التي تنطوي على وثائق الهوية للتحقق من KYC، والتي تظل واحدة من أكثر التقنيات التي يتم الاعتماد عليها للتحقق من هوية العميل.

في أبريل الماضي، ادعى أحد المتسللين أنه سرق قاعدة بيانات فحص ضخمة تسمى World-Check، وهي قاعدة بيانات تستخدمها الشركات لتحديد ما إذا كان العملاء معرضين لخطر كبير أو متورطين في أعمال إجرامية محتملة. وأظهرت نسخة من البيانات المسربة أن قاعدة البيانات تحتوي على أسماء وتواريخ ميلاد وجوازات سفر وأرقام ضمان اجتماعي وأرقام حسابات مصرفية.

أبلغت JayeLTee بشكل منفصل يوم الخميس عن العثور على مخبأ آخر لوثائق KYC المكشوفة، بما في ذلك حوالي 320 ألف جواز سفر ورخص قيادة، من موقع العثور على زميل الغرفة Roomster. وفي منشور بالمدونة، قال JayeLTee إنه ليس من الواضح بالضبط عدد الأفراد الذين تأثروا بالثغرة الأمنية في Roomster.

لم يرد الرئيس التنفيذي جون شريبر على البريد الإلكتروني الخاص بـ TechCrunch لطلب التعليق. وفي بيان قدمه تشارلز بروفمان، المستشار العام لشركة Roomster، بعد النشر، قالت الشركة إنه “ليس لديها سبب للاعتقاد بأن أي شخص قد اخترق المجلد أو أن أي شخص قد وصل إلى البيانات واستخدمها بأي طريقة شائنة”.

حُكم على Roomster في عام 2023 بدفع 1.6 مليون دولار بعد شكوى قدمتها لجنة التجارة الفيدرالية بزعم الاحتيال على ملايين مستخدميها من خلال نشر قوائم لم يتم التحقق منها ومراجعات مزيفة.

تم التحديث ببيان من Roomster.