image

Digitale portemonnee Key Ring lekt data miljoenen gebruikers

vrijdag 3 april 2020, 12:27 door Redactie, 4 reacties

De digitale portemonnee Key Ring heeft door een open database de gegevens van miljoenen gebruikers gelekt, waaronder gescande identiteitsbewijzen en creditcards. Key Ring biedt naar eigen zeggen een vervanging voor de fysieke portemonnee, zodat gebruikers al hun klantenpasjes digitaal kunnen opslaan.

Gebruikers kunnen hun bonuskaarten, klantenpasjes en andere loyaliteitskaarten scannen en in de app opslaan. Veel gebruikers gebruiken de app ook om kopieën van hun identiteitsbewijs, rijbewijs en creditcards op te slaan. Een verkeerd ingestelde Amazon Web Services (AWS) S3-bucket zorgde ervoor dat al deze geüploade scans voor iedereen op internet toegankelijk waren.

Via een S3-bucket kunnen organisaties allerlei gegevens in de cloud van Amazon opslaan. Standaard staan S3-buckets zo ingesteld dat ze niet voor onbevoegden toegankelijk zijn. In dit geval waren de instellingen aangepast waardoor de bucket wel voor iedereen benaderbaar was. Key Ring claimt meer dan 14 miljoen gebruikers te hebben en voor de opslag van 60 miljoen gescande kaarten te worden gebruikt. In de database werden meer dan 44 miljoen afbeeldingen van gescande pasjes aangetroffen.

Key Ring werkt daarnaast ook als een marketingplatform voor grote Amerikaanse merken, zoals Mattel, Walmart en Footlocker. In de S3-bucket werden ook CSV-bestanden aangetroffen met abonnementslijsten en rapportages van deze bedrijven. De lijsten zouden de persoonlijke identificeerbare informatie van miljoenen mensen bevatten, zoals naam, e-mailadres, geboortedatum en adresgegevens. Dat melden onderzoekers Noam Rotem en Ran Locar van vpnMentor. Key Ring en Amazon werden op 18 februari ingelicht. Twee dagen later was de database beveiligd.

Reacties (4)
03-04-2020, 13:05 door Anoniem
Maar heus... zo'n app is zo handig!
(wat is de meerwaarde ervan eigenlijk??)
03-04-2020, 13:10 door Anoniem
Kunnen er nog meer van die achterlijke spotjes van de overheid gemaakt worden.
U weet wel, klap dicht hang op enz..
Vervolgens zorgen de bedrijven er wel voor dat toch alles op straat terecht komt.
Optreden, nee ze mogen schikken.
En de gedupeerden! Nou en.
03-04-2020, 13:23 door buttonius
Door Anoniem: Maar heus... zo'n app is zo handig!
(wat is de meerwaarde ervan eigenlijk??)
Je portemonee blijft wat dunner.
En, na deze blunder is het zomaar mogelijk dat je portemonee nog wat dunner wordt ten gevolge van identity theft.
04-04-2020, 08:05 door The FOSS
Een verkeerd ingestelde Amazon Web Services (AWS) S3-bucket zorgde ervoor dat al deze geüploade scans voor iedereen op internet toegankelijk waren.

Ik snap dat echt niet hoor! Een miljoenenbedrijf dat weet dat het met zéér gevoelige informatie werkt en dan tóch de gebruikte infrastructuur niet afdoende onder de knie blijkt te hebben, zodat een S3-bucket verkeerd ingesteld' kan worden. Hebben ze dan geen procedures, met reviews en controles op wijzigingen aan kritieke infrastructuur? Hebben ze dan geen gezond verstand?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.