多伦多金融科技公司 Duales 旗下汇款服务 Duc App 近日被曝其一台云存储服务器配置不当，导致大量客户个人身份信息在互联网上公开可访问。

据安全研究员 Anurag Sen 表示，这台托管在亚马逊云上的存储服务器无需任何密码或身份验证，任何知晓该服务器可猜测网址的人，仅通过普通网页浏览器即可查看和下载其中数据。Sen 称，该服务器列出了逾 36 万个文件，内容包括政府签发的驾驶执照、护照，以及客户在“了解你的客户”（KYC）身份核验过程中提交的其他资料，还有用户为证明身份而上传的自拍照。

TechCrunch 报道称，虽然无法精确统计暴露的驾驶执照和护照数量，但在该公开存储桶中，不同文件夹各自包含数万个用户上传文件，抽样文件显示其中包括驾驶执照、护照及自拍照等敏感材料。相关文件时间跨度自 2020 年 9 月起，并持续每日有新文件上传。

除图像文件外，暴露数据还包括电子表格，记录了客户姓名、家庭住址以及交易日期、时间和交易详情等信息。所有数据均以未加密形式存储，意味着一旦获取链接，即可完整查看内容。

Duales 将 Duc App 定位为一款为用户提供汇款服务的应用，包括向古巴及其他海外地区汇款。其 Android 应用在 Google Play 商店的下载量已超过 10 万次。

在 TechCrunch 通过电子邮件联系公司后，Duales 首席执行官 Henry Martinez González 回应称，这些数据存放在一个“预发布站点”上，即主要用于测试的网站，但未说明为何真实客户个人信息会出现在该环境中且对外公开可见。他表示，“所有保护措施均已到位，我们正在通知相关方。我们没有与你们签订任何服务合同。”

在 TechCrunch 发出询问邮件后，相关云存储上的文件很快变得无法访问，但服务器内容列表仍然可见。Martinez González 未说明公司是否具备通过日志等技术手段确定有多少人、在何时访问过这些数据。

事件发生后，Duc App 网站在周四一度短暂无法访问，并显示“错误网关”提示。目前尚不清楚 Duales 出于何种原因将这台亚马逊托管的存储服务器暴露在互联网上。

近年来，亚马逊已加强安全检查，以减少用户因配置错误导致数据意外公开的情况。此前，多家大型机构（包括美国情报机构）曾因云存储配置不当而将敏感数据暴露在互联网上，引发广泛关注。

加拿大隐私监管机构在获悉相关情况后已介入。加拿大隐私专员办公室发言人通过电子邮件对 TechCrunch 表示，该机构“已联系该公司以获取更多信息并确定下一步措施”，并拒绝进一步置评。

Duc App 是近期一系列涉及敏感身份数据暴露事件中的最新一例。随着越来越多应用和网站要求用户上传政府签发的身份证件进行身份验证，而保护措施不足导致的数据暴露问题频繁出现。

此前，应用 TeaOnHer 曾被曝在要求用户上传护照和驾驶执照以进入其封闭社区后，暴露了数千名用户的相关证件图像。Discord 去年也证实发生数据泄露事件，约 7 万份用户上传的政府签发文件受到影响，这些用户原本试图通过上传证件配合各国正在推进的在线年龄验证法规。