booked.net
shapka_2_radio.jpg

11.02.2020 / В сеть утекли данные более 44 тыс. желающих взять кредит россиян

В сеть утекли данные более 44 тыс. желающих взять кредит россиян

В интернете в свободном доступе оказалась база клиентов кредитного брокера, оказывающего помощь в получении займов, пишет РБК. Данные десятков тысяч россиян можно использовать для рекламных обзвонов и социальной инженерии
В сеть попали данные клиентов кредитного брокера «Альфа-кредит», который собирает заявки на кредиты и помогает выбрать и получить заем в банке. Они содержались в системе управления базами данных MongoDB с открытым кодом, которую некоторые компании используют для внутренних задач. Поисковик проиндексировал базу 31 января, рассказал РБК основатель и технический директор компании в сфере информационной безопасности DeviceLock Ашот Оганесян, обнаруживший эти данные 1 февраля, в этот же день DeviceLock уведомила брокера о происшествии.

База содержала около 44 тыс. записей, убедился РБК. В каждой были указаны ФИО клиента, сумма запрашиваемого кредита и его вид, номер телефона, адрес электронной почты, город и регион проживания. Несколько человек из базы подтвердили РБК, что подавали заявку на заем через «Альфа-Кредит». Источник РБК, близкий к брокеру, подтвердил утечку в компании.

Запрос РБК, направленный «Альфа-кредиту» 3 февраля, остался без ответа, но на следующий день база была закрыта, следует из информации в поисковике. Таким образом данные клиентов были в свободном доступе в течение четырех дней.
Базы данных MongoDB попадают в открытый доступ из-за халатности системных администраторов, а также обслуживающего и настраивающего их технического персонала, полагает Оганесян: «По умолчанию MongoDB не требует логин и пароль для получения доступа к ней, поэтому, если эти степени защиты не будут настроены, то данные автоматические оказываются в сети, а специализированные поисковики их индексируют и находят».

Технически на закрытие доступа к подобным базам требуется несколько минут после получения оповещения об их открытости, отмечает он. Времени, пока они находились в открытом доступе, было достаточно для того, чтобы их кто-нибудь обнаружил и скачал, рассуждает Оганесян, добавляя, что на продажу эта база пока не выставлялась.

Опубликованная информация может использоваться участниками финансового рынка, например банками, которые могут обзванивать ее фигурантов для привлечения клиентов, добавляет руководитель направлений «комплаенс» и «аудит» департамента информационной безопасности Softline Илья Тихонов. Мошенники могут использовать полученные данные в схемах социальной инженерии, но, как подчеркивает Тихонов, это менее вероятно, так как в базе личных данных не так много.

capture2.gif