В открытом доступе обнаружили более миллиона кредитных историй граждан РФ



    На днях обнаружилась еще одна серьезная утечка личных данных Россиян — на этот раз виноватыми оказались микрофинансовые организации. Из-за неправильной конфигурации одного из серверов сотни тысяч кредитных историй попали в сеть. Вполне может быть, что этими данными воспользовались киберпреступники.

    Первым о проблеме сообщил Боб Дяченко, руководитель проекта Security Doscovery. По его словам, в сети обнаружился сервис онлайн-кредитора, на котором находились данные более миллиона граждан России. Все эти данные получены из бюро кредитных историй (БКИ) «Эквифакс», вместе с ними находилась и информация, полученная от сотовых операторов.

    В интернете оказалась СУБД MongoDB, которую успешно проиндексировали еще в конце лета такие поисковые машины, как Shodan или BinaryEdge. Изначально специалист по информационной безопасности пытался связаться с владельцем сервера, но у него ничего не получилось. После этого он сообщил об утечке в БКИ, и только после этого базу данных закрыли.

    Но проблема в том, что база находилась в открытом доступе несколько месяцев, соответственно, достаточно велики шансы того, что информация уже ушла к злоумышленникам.

    По словам СМИ, изучавших базу, первоисточник данных — микрофинансовая компания «ГринМани», которая выдает онлайн-займы. Во всяком случае, IP сервера указывает на одну из страниц сайта компании. База разделена на 29 коллекций, в ней есть данные сразу нескольких сервисов, которые дают возможности оценить заемщиков микрофинансовых организаций, ЕСИА и сотовых операторов.

    В базе содержатся полные паспортные данные и ряд других документов заемщика. Кроме того, указан адрес регистрации и фактического места жительства, плюс номера телефонов, данные по взятым ранее кредитам и общем скоринговом балле. Что касается сотовых операторов, то их базы использовали, по всей видимости, для того, чтобы проверить корректность номеров телефонов.


    МФК «ГринМани» — достаточно крупная организация, в первом полугодии этого года она оказалась на 13-м месте по общему размеру портфеля микрозаймов. Тем не менее, осенью ЦБ исключил эту организацию из реестра МФО. Причина — большое количество нарушений, которые связаны с отношениями заемщиками, предоставлению отчетов регулятору и другими проблемами. ЦБ особо выделил «осуществление взимания вознаграждения за услугу по предоставлению сведений в бюро кредитных историй, оказывая которую общество действовало исключительно в собственных интересах».

    Руководитель компании рассказал, что сейчас проводится масштабная проверка, которая поможет выяснить, что произошло. Что касается «Эквифакса», то представители организации заявили, что данные никуда не утекали. Из ОКБ поступило подтверждение, что «ГринМани» была клиентом с 2015 по сентябрь 2019 года. Запросы эта компания делала в период до отзыва лицензии, причем в полном соответствии с законодательством. Последний запрос был сделан в мае 2019 года.

    Игроки рынка считают, что на сервере, с которого утекла информация, вероятно, содержалась копия реальной базы, предназначенной для разработчиков «ГринМани». Аналогичные ситуации уже случались с другими МФО. «Даже банки часто относятся к своим обязанностям халатно, и МФО от них не отстают,— считает гендиректор Zecurion Алексей Раевский.— Пока ответственность за утечки не усилят, мы будем получать такие печальные новости».

    На проблему обратил внимание Роскомнадзор, представители которого заявили, что при наличии оснований после проверки информации будут «приняты меры».
    Поделиться публикацией
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 31

      +3

      А где ссылка то? Хочу свою КИ посмотреть ^^

        0
        Видимо, собиратели ПД еще не запилили такой сервис.
          0

          Какие-то они нерасторопные.

            0
            Все силы кинуты на работу со сберовским сливом.
          +4
          Напишите мне в ЛС ваши паспортные данные, я проверю, есть ли вы в слитой базе :)
            0
            и номер банковской карточки и cvv
            0
            Я думаю, что это возможно только в случае, если вы были клиентом указанной МКО.
            В обратном случае вы всегда можете посмотреть свою кредитную историю через сервис госуслуг.
              0
              Не только этой МФО. Они могли обмениваться с другими МФО данными о должниках. Так делают некоторые банки: чтобы не бегать за негодяями, не отдающими долги, лучше сразу не давать им денег.
                0
                Странно, все-равно ведь делается запрос в БКИ — или вы имеете ввиду доп сведения? В любом случае можно сделать свою БКИ — зачем одноранговая сеть?
                  0
                  Именно доп. В БКИ не будет «вкусных» подробностей, говорящих о человеке многое.
                  Например, что сотрудница ворует на работе всё, что плохо лежит. Или что человек — конченый игроман, алкаш или наркоман. Бывает, что потенциальный заёмщик — частый герой оперативных сводок МВД, и запросто может отъехать на зону.
                  Иногда бывает, что заёмщик указывает местом работы «помойку» — фиктивную контору, где на телефоне сидит «попугай» и подтверждает липовые рабочие места и дутые доходы.
                  Подобная информация распространяется строго неофициально, но часто служит поводом для отказа в кредите.
                    0
                    Обычно такое идет по линии службы безопасности, они любят подключатся к своим полулевым базам, учитывая нелюбовь между операми и технарями у безопасников косяк похож на правду
              0
              Готов предоставить по номерам банковских карт с exp/date и кодом с обратной стороны. Персональных данных в принципе — не нужно :)

              А если серьезно то раз в год (если я не ошибаюсь) можно бесплатно запрашивать свою кредитную историю официально в тех самых бюро. Идете с паспортом, пишете заявление и вам предоставят.
                0
                Если есть подключение к госуслугам, то как минимум у нескольких кредитных бюро можно авторизироваться через них и получить сразу в интернете, не ходя с паспортом. Очень удобно.
                  0
                  Спасибо за уточнение. Я не знал что уже и на гос.услугах эту историю можно получить.
                    0
                    На самих госуслугах — только список бюро, которые хранят вашу историю.
                    Саму историю — непосредстенно в бюро, но с логином через госуслуги.
                    P.S. Два раза в год.
              +1
              Хоть каждый год паспорт меняй «по утере». Это стоит не так уж дорого.

              ps Заставили при вписывании ребёнка паспорт поменять(первая страничка оторвалась на 2см от корешка), я сначала поупирался, что вписывайте в этот, а потом вспомнил, что давно думал, что пора паспорт, который за 12 лет засвечен где только можно уже поменять. И поменял. Теперь новый прикол: многие безопасники спрашивают чего паспорт менял в 32 года.
                +1
                У меня еше веселее история была — паспорт испортили в ЗАГСе при проставлении штампов (мне написали неправильный месяц, а жене — неправильный год (!) заключения брака).
                И теперь, когда
                многие безопасники спрашивают чего паспорт менял в 32 года.
                чтобы не нырять в долгие рассказы, говорю просто что постирал его в стиралке забыв вытащить из джинсов — после этого вопросов не остается :)
                  0
                  Интересно, что они скажут о замене паспорта каждый год :)
                    +3
                    … а кто то запрещает в карманах стирать свой паспорт раз в год?
                      +3
                      … Понимаете, каждый год 31 декабря мы с друзьями ходим в баню
                      0
                      Безопасники? А как они узнают про каждый год?
                      Да и в моём случае везде разные были, то с в Полюс-Золото звали за дошик работать в горах Якутии, то кредитный инспектор звонил, когда пробивали давать ли кредит.
                        0

                        В паспорте есть штамп о ранее выданных паспортах. Но я не уверен: там только последний или все предыдущие?

                          0
                          Именно так. Я когда последний паспорт получил, был крайне удивлен увидеть там номер моего самого первого паспорта, который, как я наивно полагал, только у меня в архивных (бумажных) документах сохранился.
                            0
                            У меня оба предыдущих.
                        0
                        Что необычного в замене паспорта? Утяря/повреждение чего угодно — обычное дело
                        –2

                        РКН опять запретит и не пущать будет, или хоть раз пользу принесет?


                        Хотя, ответственности нет — считай, никому дела не будет...

                          0
                          При форсмажорных обстоятельствах ответственность не наступает.
                          «Преступники действовали грамотно».
                          +3
                          С каждой подобной новостью все сильнее ощущаешь себя горшком с петунией.
                            +1
                            горшком с петунией

                            А что это за мем? У кашалота успели появиться экзистенциальные мысли, а у горшка вроде нет.
                              +1
                              Так одна мысль — «ну вот опять». Ее достаточно.
                            +3
                            Надо просто принять за грустную киберпанковскую данность, что все ваши данные скомпроментированы.
                            И действовать всегда исходя из этого.

                            Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                            Самое читаемое