В открытом доступе обнаружили более миллиона кредитных историй граждан РФ

в 16:32, , рубрики: Законодательство в IT, информационная безопасность, мфо, персональные данные, утечка данных, финансы

В открытом доступе обнаружили более миллиона кредитных историй граждан РФ - 1

На днях обнаружилась еще одна серьезная утечка личных данных Россиян — на этот раз виноватыми оказались микрофинансовые организации. Из-за неправильной конфигурации одного из серверов сотни тысяч кредитных историй попали в сеть. Вполне может быть, что этими данными воспользовались киберпреступники.

Первым о проблеме сообщил Боб Дяченко, руководитель проекта Security Doscovery. По его словам, в сети обнаружился сервис онлайн-кредитора, на котором находились данные более миллиона граждан России. Все эти данные получены из бюро кредитных историй (БКИ) «Эквифакс», вместе с ними находилась и информация, полученная от сотовых операторов.

В интернете оказалась СУБД MongoDB, которую успешно проиндексировали еще в конце лета такие поисковые машины, как Shodan или BinaryEdge. Изначально специалист по информационной безопасности пытался связаться с владельцем сервера, но у него ничего не получилось. После этого он сообщил об утечке в БКИ, и только после этого базу данных закрыли.

Но проблема в том, что база находилась в открытом доступе несколько месяцев, соответственно, достаточно велики шансы того, что информация уже ушла к злоумышленникам.

По словам СМИ, изучавших базу, первоисточник данных — микрофинансовая компания «ГринМани», которая выдает онлайн-займы. Во всяком случае, IP сервера указывает на одну из страниц сайта компании. База разделена на 29 коллекций, в ней есть данные сразу нескольких сервисов, которые дают возможности оценить заемщиков микрофинансовых организаций, ЕСИА и сотовых операторов.

В базе содержатся полные паспортные данные и ряд других документов заемщика. Кроме того, указан адрес регистрации и фактического места жительства, плюс номера телефонов, данные по взятым ранее кредитам и общем скоринговом балле. Что касается сотовых операторов, то их базы использовали, по всей видимости, для того, чтобы проверить корректность номеров телефонов.

МФК «ГринМани» — достаточно крупная организация, в первом полугодии этого года она оказалась на 13-м месте по общему размеру портфеля микрозаймов. Тем не менее, осенью ЦБ исключил эту организацию из реестра МФО. Причина — большое количество нарушений, которые связаны с отношениями заемщиками, предоставлению отчетов регулятору и другими проблемами. ЦБ особо выделил «осуществление взимания вознаграждения за услугу по предоставлению сведений в бюро кредитных историй, оказывая которую общество действовало исключительно в собственных интересах».

Руководитель компании рассказал, что сейчас проводится масштабная проверка, которая поможет выяснить, что произошло. Что касается «Эквифакса», то представители организации заявили, что данные никуда не утекали. Из ОКБ поступило подтверждение, что «ГринМани» была клиентом с 2015 по сентябрь 2019 года. Запросы эта компания делала в период до отзыва лицензии, причем в полном соответствии с законодательством. Последний запрос был сделан в мае 2019 года.

Игроки рынка считают, что на сервере, с которого утекла информация, вероятно, содержалась копия реальной базы, предназначенной для разработчиков «ГринМани». Аналогичные ситуации уже случались с другими МФО. «Даже банки часто относятся к своим обязанностям халатно, и МФО от них не отстают,— считает гендиректор Zecurion Алексей Раевский.— Пока ответственность за утечки не усилят, мы будем получать такие печальные новости».

На проблему обратил внимание Роскомнадзор, представители которого заявили, что при наличии оснований после проверки информации будут «приняты меры».

Автор: marks

Источник

* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js