De digitale portemonnee Key Ring heeft door een open database de gegevens van miljoenen gebruikers gelekt, waaronder gescande identiteitsbewijzen en creditcards. Key Ring biedt naar eigen zeggen een vervanging voor de fysieke portemonnee, zodat gebruikers al hun klantenpasjes digitaal kunnen opslaan.

Gebruikers kunnen hun bonuskaarten, klantenpasjes en andere loyaliteitskaarten scannen en in de app opslaan. Veel gebruikers gebruiken de app ook om kopieën van hun identiteitsbewijs, rijbewijs en creditcards op te slaan. Een verkeerd ingestelde Amazon Web Services (AWS) S3-bucket zorgde ervoor dat al deze geüploade scans voor iedereen op internet toegankelijk waren.

Via een S3-bucket kunnen organisaties allerlei gegevens in de cloud van Amazon opslaan. Standaard staan S3-buckets zo ingesteld dat ze niet voor onbevoegden toegankelijk zijn. In dit geval waren de instellingen aangepast waardoor de bucket wel voor iedereen benaderbaar was. Key Ring claimt meer dan 14 miljoen gebruikers te hebben en voor de opslag van 60 miljoen gescande kaarten te worden gebruikt. In de database werden meer dan 44 miljoen afbeeldingen van gescande pasjes aangetroffen.

Key Ring werkt daarnaast ook als een marketingplatform voor grote Amerikaanse merken, zoals Mattel, Walmart en Footlocker. In de S3-bucket werden ook CSV-bestanden aangetroffen met abonnementslijsten en rapportages van deze bedrijven. De lijsten zouden de persoonlijke identificeerbare informatie van miljoenen mensen bevatten, zoals naam, e-mailadres, geboortedatum en adresgegevens. Dat melden onderzoekers Noam Rotem en Ran Locar van vpnMentor. Key Ring en Amazon werden op 18 februari ingelicht. Twee dagen later was de database beveiligd.