Микрофинансисты поделились BigData
Более миллиона кредитных историй россиян нашлись в открытом доступе. Произошло это в результате ошибки в конфигурации базы данных на одном из серверов, предположительно принадлежавшем микрофинансовой организации. Сейчас брешь закрыта, но из-за того, что данные были доступны для свободного скачивания долгое время, они могли быть украдены злоумышленниками.
Независимый исследователь по кибербезопасности, руководитель проекта Security Discovery Боб Дяченко сообщил в среду вечером, 16 октября, в своем Twitter об обнаруженном сервере онлайн-кредитора, на котором находились кредитные истории более миллиона россиян, полученные из бюро кредитных историй (БКИ) «Эквифакс», а также c данными сотовых операторов. Господин Дяченко пояснил “Ъ”, что обнаружил открытую СУБД MongoDB 10 октября, но она была проиндексирована специализированными поисковиками вроде Shodan или BinaryEdge еще 28 августа. Владелец сервера не реагировал на попытки с ним связаться. Господин Дяченко сообщил о проблеме в БКИ, после чего база данных была закрыта. Поскольку поисковики проиндексировали ее давно, то шансы, что ее кто-либо успел скачать, по его мнению, высокие.
“Ъ” изучил информацию, которая потенциально могла оказаться в руках злоумышленников. Название базы данных отсылает к микрофинансовой компании «ГринМани», выдававшей онлайн-займы. IP-адрес сервера ведет на служебную страницу сайта компании, использовавшуюся для тестирования. База данных содержит 29 коллекций (директорий). В базе есть данные нескольких сторонних сервисов для оценки заемщиков микрофинансовых организаций, ЕСИА и сотовых операторов.
Основной объем утекшей информации приходится на кредитные истории, хранящиеся в коллекции «Эквифакс»,— свыше 1 млн записей (более 52,5 Гб). В частности, в них содержатся полные паспортные данные и другие документы заемщика, адрес регистрации и фактического места жительства, номера телефонов, а также информация о кредитах и скоринговом балле. Похожие данные содержатся и в коллекции ОКБ, но записей в ней намного меньше — около 130 тыс. (825 Мб). Сотовые операторы привлекались, судя по всему, лишь для проверки телефонного номера.
ФК «ГринМани», по данным «Эксперт РА», по итогам первого полугодия 2019 года занимала 13-е место по общему размеру портфеля микрозаймов. Однако 12 сентября ЦБ исключил ее из реестра МФО за многочисленные нарушения, связанные как с отношениями с заемщиками, так и с предоставлением недостоверной отчетности регулятору. Одна из причин — «осуществление взимания вознаграждения за услугу по предоставлению сведений в бюро кредитных историй, оказывая которую общество действовало исключительно в собственных интересах».
Гендиректор «ГринМани» Андрей Луцык заявил “Ъ”, что проводится проверка для выяснения «всей информации по данному случаю». «Компания соблюдает все требования по хранению и обработке персональных данных, предусмотренные законодательством,— заявил господин Луцык.— До окончания проверки преждевременно говорить о том, что произошла какая-либо утечка». В «Эквифакс» заверили, что оттуда данные не утекали, но не стали уточнять, предпримут ли они какие-либо действия. В ОКБ подтвердили, что «ГринМани» была одним из их клиентов с 2015 года по сентябрь 2019-го. По словам представителя ОКБ, все запросы в адрес ОКБ делались этой МФК в период до отзыва лицензии в полном соответствии с законодательством и при наличии действующего согласия заемщика. Последний запрос датирован маем 2019 года. В ЦБ заявили, что требования к обеспечению защиты информации для некредитных финансовых организаций уже установлены положением №684-П.
Несмотря на то что сервер, на котором располагалась в свободном доступе MongoDB, был тестовым, скорее всего, он содержал копию реальной базы, предназначенную для разработчиков, считает основатель DeviceLock Ашот Оганесян. По его словам, уже бывали аналогичные случаи с другими МФО. «Даже банки часто относятся к своим обязанностям халатно, и МФО от них не отстают,— считает гендиректор Zecurion Алексей Раевский.— Пока ответственность за утечки не усилят, мы будем получать такие печальные новости».
Независимый исследователь по кибербезопасности, руководитель проекта Security Discovery Боб Дяченко сообщил в среду вечером, 16 октября, в своем Twitter об обнаруженном сервере онлайн-кредитора, на котором находились кредитные истории более миллиона россиян, полученные из бюро кредитных историй (БКИ) «Эквифакс», а также c данными сотовых операторов. Господин Дяченко пояснил “Ъ”, что обнаружил открытую СУБД MongoDB 10 октября, но она была проиндексирована специализированными поисковиками вроде Shodan или BinaryEdge еще 28 августа. Владелец сервера не реагировал на попытки с ним связаться. Господин Дяченко сообщил о проблеме в БКИ, после чего база данных была закрыта. Поскольку поисковики проиндексировали ее давно, то шансы, что ее кто-либо успел скачать, по его мнению, высокие.
“Ъ” изучил информацию, которая потенциально могла оказаться в руках злоумышленников. Название базы данных отсылает к микрофинансовой компании «ГринМани», выдававшей онлайн-займы. IP-адрес сервера ведет на служебную страницу сайта компании, использовавшуюся для тестирования. База данных содержит 29 коллекций (директорий). В базе есть данные нескольких сторонних сервисов для оценки заемщиков микрофинансовых организаций, ЕСИА и сотовых операторов.
Основной объем утекшей информации приходится на кредитные истории, хранящиеся в коллекции «Эквифакс»,— свыше 1 млн записей (более 52,5 Гб). В частности, в них содержатся полные паспортные данные и другие документы заемщика, адрес регистрации и фактического места жительства, номера телефонов, а также информация о кредитах и скоринговом балле. Похожие данные содержатся и в коллекции ОКБ, но записей в ней намного меньше — около 130 тыс. (825 Мб). Сотовые операторы привлекались, судя по всему, лишь для проверки телефонного номера.
ФК «ГринМани», по данным «Эксперт РА», по итогам первого полугодия 2019 года занимала 13-е место по общему размеру портфеля микрозаймов. Однако 12 сентября ЦБ исключил ее из реестра МФО за многочисленные нарушения, связанные как с отношениями с заемщиками, так и с предоставлением недостоверной отчетности регулятору. Одна из причин — «осуществление взимания вознаграждения за услугу по предоставлению сведений в бюро кредитных историй, оказывая которую общество действовало исключительно в собственных интересах».
Гендиректор «ГринМани» Андрей Луцык заявил “Ъ”, что проводится проверка для выяснения «всей информации по данному случаю». «Компания соблюдает все требования по хранению и обработке персональных данных, предусмотренные законодательством,— заявил господин Луцык.— До окончания проверки преждевременно говорить о том, что произошла какая-либо утечка». В «Эквифакс» заверили, что оттуда данные не утекали, но не стали уточнять, предпримут ли они какие-либо действия. В ОКБ подтвердили, что «ГринМани» была одним из их клиентов с 2015 года по сентябрь 2019-го. По словам представителя ОКБ, все запросы в адрес ОКБ делались этой МФК в период до отзыва лицензии в полном соответствии с законодательством и при наличии действующего согласия заемщика. Последний запрос датирован маем 2019 года. В ЦБ заявили, что требования к обеспечению защиты информации для некредитных финансовых организаций уже установлены положением №684-П.
Несмотря на то что сервер, на котором располагалась в свободном доступе MongoDB, был тестовым, скорее всего, он содержал копию реальной базы, предназначенную для разработчиков, считает основатель DeviceLock Ашот Оганесян. По его словам, уже бывали аналогичные случаи с другими МФО. «Даже банки часто относятся к своим обязанностям халатно, и МФО от них не отстают,— считает гендиректор Zecurion Алексей Раевский.— Пока ответственность за утечки не усилят, мы будем получать такие печальные новости».
Читайте также
За июнь доходность по депозитам снизилась во всех российских банках из топ-20
Максимальная ставка без специальных условий в этих кредитных организациях составляет 20,5%
Зарубежные IT-компании стали в два раза чаще регистрировать бизнес в России
Лидерами стали индийские и китайские компании
В ЦБ рассказали о преимуществах социальных вкладов и счетов
С 1 июля 2025 года льготные категории граждан, которые получают социальную поддержку от государства, смогут оформить выгодные для себя банковские продукты
Россияне массово страхуют квартиры от дронов
В России растет объем страховых выплат по страховым случаям с жильем, связанным с падением БПЛА
Мишустин сообщил, что семьи с детьми начнут получать еще одну ежегодную выплату
Часть российских семей с детьми с 2026 года начнут получать еще одну ежегодную выплату
Рубль укрепился к доллару, но уступает евро и юаню
ЦБ установил официальные курсы валют на 2 июля
Братский Народный Банк отмечает 22 года работы в Красноярске
22 июля 2003 года Братский АНКБ распахнул свои двери красноярцам
Банк Русский Стандарт - 21 год на банковском рынке Красноярска
26 июля 2004 года открылся первый офис банка в Красноярске
Системно значимые банки начали запускать социальные вклады
С 1 июля 2025 года в России появились новый банковский продукт
В ВТБ Онлайн доступна бесконтактная оплата топлива
ВТБ запустил бесконтактную оплату топлива в онлайн-банке