На днях обнаружилась еще одна серьезная утечка личных данных Россиян — на этот раз виноватыми оказались микрофинансовые организации. Из-за неправильной конфигурации одного из серверов сотни тысяч кредитных историй попали в сеть. Вполне может быть, что этими данными воспользовались киберпреступники.
Первым о проблеме сообщил Боб Дяченко, руководитель проекта Security Doscovery. По его словам, в сети обнаружился сервис онлайн-кредитора, на котором находились данные более миллиона граждан России. Все эти данные получены из бюро кредитных историй (БКИ) «Эквифакс», вместе с ними находилась и информация, полученная от сотовых операторов.
В интернете оказалась СУБД MongoDB, которую успешно проиндексировали еще в конце лета такие поисковые машины, как Shodan или BinaryEdge. Изначально специалист по информационной безопасности пытался связаться с владельцем сервера, но у него ничего не получилось. После этого он сообщил об утечке в БКИ, и только после этого базу данных закрыли.
Но проблема в том, что база находилась в открытом доступе несколько месяцев, соответственно, достаточно велики шансы того, что информация уже ушла к злоумышленникам.
По словам СМИ, изучавших базу, первоисточник данных — микрофинансовая компания «ГринМани», которая выдает онлайн-займы. Во всяком случае, IP сервера указывает на одну из страниц сайта компании. База разделена на 29 коллекций, в ней есть данные сразу нескольких сервисов, которые дают возможности оценить заемщиков микрофинансовых организаций, ЕСИА и сотовых операторов.
В базе содержатся полные паспортные данные и ряд других документов заемщика. Кроме того, указан адрес регистрации и фактического места жительства, плюс номера телефонов, данные по взятым ранее кредитам и общем скоринговом балле. Что касается сотовых операторов, то их базы использовали, по всей видимости, для того, чтобы проверить корректность номеров телефонов.
МФК «ГринМани» — достаточно крупная организация, в первом полугодии этого года она оказалась на 13-м месте по общему размеру портфеля микрозаймов. Тем не менее, осенью ЦБ исключил эту организацию из реестра МФО. Причина — большое количество нарушений, которые связаны с отношениями заемщиками, предоставлению отчетов регулятору и другими проблемами. ЦБ особо выделил «осуществление взимания вознаграждения за услугу по предоставлению сведений в бюро кредитных историй, оказывая которую общество действовало исключительно в собственных интересах».
Руководитель компании рассказал, что сейчас проводится масштабная проверка, которая поможет выяснить, что произошло. Что касается «Эквифакса», то представители организации заявили, что данные никуда не утекали. Из ОКБ поступило подтверждение, что «ГринМани» была клиентом с 2015 по сентябрь 2019 года. Запросы эта компания делала в период до отзыва лицензии, причем в полном соответствии с законодательством. Последний запрос был сделан в мае 2019 года.
Игроки рынка считают, что на сервере, с которого утекла информация, вероятно, содержалась копия реальной базы, предназначенной для разработчиков «ГринМани». Аналогичные ситуации уже случались с другими МФО. «Даже банки часто относятся к своим обязанностям халатно, и МФО от них не отстают,— считает гендиректор Zecurion Алексей Раевский.— Пока ответственность за утечки не усилят, мы будем получать такие печальные новости».
На проблему обратил внимание Роскомнадзор, представители которого заявили, что при наличии оснований после проверки информации будут «приняты меры».
Комментарии (31)
nevzorofff
18.10.2019 21:14+1Хоть каждый год паспорт меняй «по утере». Это стоит не так уж дорого.
ps Заставили при вписывании ребёнка паспорт поменять(первая страничка оторвалась на 2см от корешка), я сначала поупирался, что вписывайте в этот, а потом вспомнил, что давно думал, что пора паспорт, который за 12 лет засвечен где только можно уже поменять. И поменял. Теперь новый прикол: многие безопасники спрашивают чего паспорт менял в 32 года.F0iL
18.10.2019 21:35+1У меня еше веселее история была — паспорт испортили в ЗАГСе при проставлении штампов (мне написали неправильный месяц, а жене — неправильный год (!) заключения брака).
И теперь, когда
многие безопасники спрашивают чего паспорт менял в 32 года.
чтобы не нырять в долгие рассказы, говорю просто что постирал его в стиралке забыв вытащить из джинсов — после этого вопросов не остается :)
tmin10
18.10.2019 22:31Интересно, что они скажут о замене паспорта каждый год :)
nevzorofff
19.10.2019 10:47Безопасники? А как они узнают про каждый год?
Да и в моём случае везде разные были, то с в Полюс-Золото звали за дошик работать в горах Якутии, то кредитный инспектор звонил, когда пробивали давать ли кредит.tmin10
19.10.2019 10:53В паспорте есть штамп о ранее выданных паспортах. Но я не уверен: там только последний или все предыдущие?
Sly_tom_cat
19.10.2019 11:37Именно так. Я когда последний паспорт получил, был крайне удивлен увидеть там номер моего самого первого паспорта, который, как я наивно полагал, только у меня в архивных (бумажных) документах сохранился.
Viceroyalty
19.10.2019 22:09Что необычного в замене паспорта? Утяря/повреждение чего угодно — обычное дело
Neuromantix
18.10.2019 22:18+3С каждой подобной новостью все сильнее ощущаешь себя горшком с петунией.
Daddy_Cool
19.10.2019 01:55+1горшком с петунией
А что это за мем? У кашалота успели появиться экзистенциальные мысли, а у горшка вроде нет.
Areso
18.10.2019 22:52+3Надо просто принять за грустную киберпанковскую данность, что все ваши данные скомпроментированы.
И действовать всегда исходя из этого.
wxmaper
А где ссылка то? Хочу свою КИ посмотреть ^^
mrchoo
Видимо, собиратели ПД еще не запилили такой сервис.
wxmaper
Какие-то они нерасторопные.
mrchoo
Все силы кинуты на работу со сберовским сливом.
ferosod
Напишите мне в ЛС ваши паспортные данные, я проверю, есть ли вы в слитой базе :)
petrovichtim
и номер банковской карточки и cvv
Areso
Я думаю, что это возможно только в случае, если вы были клиентом указанной МКО.
В обратном случае вы всегда можете посмотреть свою кредитную историю через сервис госуслуг.
Gar02
Не только этой МФО. Они могли обмениваться с другими МФО данными о должниках. Так делают некоторые банки: чтобы не бегать за негодяями, не отдающими долги, лучше сразу не давать им денег.
Viceroyalty
Странно, все-равно ведь делается запрос в БКИ — или вы имеете ввиду доп сведения? В любом случае можно сделать свою БКИ — зачем одноранговая сеть?
Gar02
Именно доп. В БКИ не будет «вкусных» подробностей, говорящих о человеке многое.
Например, что сотрудница ворует на работе всё, что плохо лежит. Или что человек — конченый игроман, алкаш или наркоман. Бывает, что потенциальный заёмщик — частый герой оперативных сводок МВД, и запросто может отъехать на зону.
Иногда бывает, что заёмщик указывает местом работы «помойку» — фиктивную контору, где на телефоне сидит «попугай» и подтверждает липовые рабочие места и дутые доходы.
Подобная информация распространяется строго неофициально, но часто служит поводом для отказа в кредите.
Viceroyalty
Обычно такое идет по линии службы безопасности, они любят подключатся к своим полулевым базам, учитывая нелюбовь между операми и технарями у безопасников косяк похож на правду
Sly_tom_cat
Готов предоставить по номерам банковских карт с exp/date и кодом с обратной стороны. Персональных данных в принципе — не нужно :)
А если серьезно то раз в год (если я не ошибаюсь) можно бесплатно запрашивать свою кредитную историю официально в тех самых бюро. Идете с паспортом, пишете заявление и вам предоставят.
edogs
Если есть подключение к госуслугам, то как минимум у нескольких кредитных бюро можно авторизироваться через них и получить сразу в интернете, не ходя с паспортом. Очень удобно.
Sly_tom_cat
Спасибо за уточнение. Я не знал что уже и на гос.услугах эту историю можно получить.
Squoworode
На самих госуслугах — только список бюро, которые хранят вашу историю.
Саму историю — непосредстенно в бюро, но с логином через госуслуги.
P.S. Два раза в год.