Svět digitálních dárkových poukazů zažil významný otřes poté, co bezpečnostní výzkumník odhalil obří únik citlivých osobních dat. Databáze obsahující více než 600 000 skenů osobních dokladů a 200 000 selfie byla objevena nezabezpečená online. Únik zasáhl zákazníky společnosti MyGiftCardSupply, která prodává digitální dárkové poukazy pro široké spektrum služeb a obchodů.

Co bylo odhaleno?

Podle odborníka na kybernetickou bezpečnost vystupujícího pod přezdívkou JayeLTee obsahovala databáze naskenované dokumenty, jako jsou řidičské průkazy, pasy a další identifikační doklady. Kromě toho zde byly i fotografie uživatelů držících tyto doklady – běžný požadavek v rámci ověřovacího procesu známého jako KYC (Know Your Customer).

Databáze byla hostována na platformě Azure, ale postrádala jakoukoli formu zabezpečení, což umožňovalo komukoli, kdo znal její umístění, přístup k citlivým informacím. Jak dlouho byla data vystavena a zda je zneužili kyberzločinci, zatím není jasné.

Zdroj: Shutterstock

Proč jsou dárkové poukazy v hledáčku podvodníků?

Dárkové poukazy jsou oblíbeným nástrojem podvodníků, kteří je využívají k „praní“ kradených peněz nebo kryptoměn. Díky jejich univerzálnímu použití a anonymitě mohou být snadno převedeny na hodnotu, kterou je obtížné vystopovat. Z tohoto důvodu mnoho firem, včetně MyGiftCardSupply, zavedlo povinné KYC ověřování, aby minimalizovaly riziko podvodů.

Zanedbané zabezpečení a důsledky

Zveřejněná data mohou být zneužita k nejrůznějším účelům – od phishingu a krádeže identity až po složitější formy finančních podvodů. Nechráněné informace jako selfie s doklady představují zlatý důl pro kyberzločince, kteří je mohou prodávat na černém trhu.

Společnost MyGiftCardSupply se po upozornění TechCrunch bránila tím, že problém byl okamžitě napraven a soubory byly zabezpečeny. Zakladatel firmy Sam Gastro uvedl, že firma nyní provádí kompletní audit KYC procesů a zavádí přísnější opatření na ochranu dat. „Do budoucna budeme po ověření identity data ihned mazat,“ ujistil.

Lze únikům zabránit?

Incident upozornil na širší problém ve zpracování osobních údajů. I když je KYC proces nezbytný k dodržování regulačních požadavků, uchovávání těchto dat bez odpovídajícího zabezpečení představuje značné riziko. Firmy by měly investovat do robustních bezpečnostních opatření, jako je šifrování dat, pravidelné bezpečnostní audity a rychlé odstraňování již nepotřebných souborů.