11 февраля 2020
В Интернет попали данные клиентов кредитного брокера «Альфа-Кредит», который собирает заявки на кредиты, помогает выбрать и получить заем в банке. Они содержались в системе управления базами данных MongoDB с открытым кодом, используемой некоторыми компаниями для внутренних задач. Поисковик проиндексировал базу 31 января, рассказал РБК основатель и технический директор компании в сфере информационной безопасности DeviceLock Ашот Оганесян, обнаруживший эти данные 1 февраля. В этот же день компания уведомила брокера о происшествии.
База содержала более 44 тыс. записей, убедился РБК. В каждой были указаны ФИО клиента, сумма и вид запрашиваемого кредита, номер телефона, адрес электронной почты, город и регион проживания. Несколько человек из базы подтвердили РБК, что подавали заявку на заем через «Альфа-Кредит». Источник РБК, близкий к брокеру, подтвердил утечку.
3 февраля РБК направил в «Альфа-Кредит» запрос, однако ответа на него не поступило, но на следующий день база была закрыта, следует из информации в поисковике. В итоге, данные клиентов были в свободном доступе в течение четырех дней.
Ашот Оганесян считает, что базы данных MongoDB попадают в открытый доступ из-за халатности системных администраторов, а также обслуживающего и настраивающего их технического персонала: «По умолчанию MongoDB не требует логин и пароль для получения доступа к ней, поэтому если эти степени защиты не будут настроены, то данные автоматические оказываются в Сети, а специализированные поисковики их индексируют и находят».
Технически на закрытие доступа к подобным базам требуется несколько минут после получения оповещения об открытости, отмечает Оганесян. Времени нахождения в открытом доступе было достаточно, чтобы их обнаружить и скачать, рассуждает эксперт, добавляя, что на продажу эта база пока не выставлялась.
Опубликованная информация может использоваться участниками финансового рынка, например банками, которые могут обзванивать ее фигурантов для привлечения клиентов, добавляет руководитель направлений комплаенс и аудит департамента информационной безопасности Softline Илья Тихонов. Мошенники могут использовать полученные данные в схемах социальной инженерии, но, как считает эксперт, это мало вероятно, так как в базе личных данных немного.
Источник: РБК
-
26 сентября 2024Наказание за утечку данных планируют смягчить
-
07 августа 2024Обезличивание персональных данных по новому
-
15 февраля 2024Правительство намерено бороться с избыточным сбором персональных данных
-
15 января 2024Ужесточение наказания одобрено
-
05 декабря 2023Ответственность ужесточается
-
09 ноября 2023Перечень индикаторов риска обновили