Ein US-amerikanischer Online-Shop für Geschenkkarten hat einen Online-Speicherserver gesichert, der Hunderttausende von der Regierung ausgestellte Ausweisdokumente von Kunden öffentlich im Internet zugänglich gemacht hat.
Ein Sicherheitsforscher, der unter dem Online-Namen auftritt JayeLTeefand Ende letzten Jahres den öffentlich zugänglichen Speicherserver mit Führerscheinen, Reisepässen und anderen Ausweisdokumenten von MyGiftCardSupply, einem Unternehmen, das digitale Geschenkkarten verkauft, die Kunden bei beliebten Marken und Online-Diensten einlösen können.
Auf der Website von MyGiftCardSupply heißt es, dass Kunden im Rahmen ihrer Compliance-Bemühungen mit den US-amerikanischen Anti-Geldwäsche-Vorschriften, oft bekannt als „Know Your Customer“-Checks (KYC), eine Kopie ihrer Ausweisdokumente hochladen müssen.
Doch der Speicherserver, auf dem sich die Dateien befanden, verfügte über kein Passwort, sodass jeder im Internet auf die darin gespeicherten Daten zugreifen konnte.
JayeLTee machte Tech letzte Woche auf die Offenlegung aufmerksam, nachdem MyGiftCardSupply nicht auf die E-Mail des Forschers bezüglich der offengelegten Daten geantwortet hatte.
Auf Anfrage von Tech bestätigte der Gründer von MyGiftCardSupply, Sam Gastro, die Sicherheitslücke. „Die Dateien sind jetzt sicher und wir führen eine vollständige Prüfung des KYC-Verifizierungsverfahrens durch“, sagte Gastro. „In Zukunft werden wir die Dateien umgehend nach der Identitätsprüfung löschen.“
Gastro wollte weder sagen, wie lange die Daten im Internet verfügbar waren, noch würde sich das Unternehmen dazu verpflichten, betroffene Personen zu benachrichtigen, deren Informationen öffentlich zugänglich gemacht wurden. Gastro ging auch nicht darauf ein, warum MyGiftCardSupply zu diesem Zeitpunkt nicht auf die E-Mail des Forschers antwortete oder die Sicherheitslücke behob.
Laut JayeLTee enthielten die offengelegten Daten – gehostet in der Azure-Cloud von Microsoft – über 600.000 Vorder- und Rückseitenbilder von Ausweisdokumenten sowie Selfie-Fotos von rund 200.000 Kunden. Es ist nicht ungewöhnlich, dass Unternehmen, die KYC-Prüfungen unterliegen, ihre Kunden bitten, ein Selfie zu machen, während sie eine Kopie ihrer Ausweisdokumente in der Hand halten, um zu überprüfen, ob der Kunde der ist, für den sie sich ausgeben, und um Fälschungen auszuschließen.
Das zuletzt auf den Server hochgeladene Dokument war vom 31. Dezember 2024, einen Tag bevor MyGiftCardSupply den offengelegten Server sicherte. Tausende Kunden haben in den vergangenen Wochen ihre Ausweisdokumente hochgeladen, was darauf hindeutet, dass der Speicherserver aktiv genutzt wurde.
Dies ist der jüngste in einer langen Liste von Vorfällen und Datenschutzverletzungen in den letzten Jahren im Zusammenhang mit Ausweisdokumenten für KYC-Prüfungen, die nach wie vor eine der am häufigsten verwendeten Techniken zur Überprüfung der Identität eines Kunden sind.
Im vergangenen April behauptete ein Hacker, eine riesige Screening-Datenbank namens World-Check gestohlen zu haben, eine Datenbank, die von Unternehmen verwendet wird, um festzustellen, ob Kunden ein hohes Risiko darstellen oder in potenzielle Kriminalität verwickelt sind. Eine Kopie der durchgesickerten Daten zeigte, dass die Datenbank Namen, Geburtsdaten, Pass- und Sozialversicherungsnummern sowie Bankkontonummern enthielt.
JayeLTee gesondert am Donnerstag berichtet Auf der Mitbewohner-Suchseite Roomster wurde ein weiterer Cache offengelegter KYC-Dokumente gefunden, darunter rund 320.000 Pässe und Führerscheine.
In einem Blogbeitrag sagte JayeLTee, es sei nicht genau klar, wie viele Personen von der Sicherheitslücke bei Roomster betroffen seien, und sein CEO John Shriber antwortete nicht auf die E-Mail von Tech mit der Bitte um Stellungnahme. Roomster war im Jahr 2023 zur Zahlung von 1,6 Millionen US-Dollar verurteilt nach einer Beschwerde der Federal Trade Commission wegen angeblichem Betrug an Millionen seiner Nutzer durch die Veröffentlichung unbestätigter Einträge und gefälschter Bewertungen.