Все ваши потребкредиты и персональные данные «в одном месте»…

в 5:01, , рубрики: mongodb, Администрирование баз данных, информационная безопасность, утечка данных, утечка информации, утечки информации

Продолжаем марафон утечек из российских баз данных, оставленных их владельцами в открытом доступе.

Все ваши потребкредиты и персональные данные «в одном месте»… - 1

На этот раз была обнаружена база MongoDB, не требующая аутентификации, с персональными данными и фотографиями заемщиков из Южного, Уральского и Приволжского федеральных округов и всеми их заявками на кредиты.

Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Скриншоты взяты либо из открытых источников, либо были предоставлены автору доброжелателями.

База данных, размером около 158 Гб содержала 74 коллекции (collections) и по данным поисковика BinaryEdge (про то, как обнаруживают открытые базы данных Elasticsearch и MongoDB я писал отдельную статью), находилась в свободном доступе как минимум 11 дней.

Все ваши потребкредиты и персональные данные «в одном месте»… - 2

По косвенным признакам было сделано предположение относительно возможного владельца базы: все (5042) пользователи из коллекции users имели адреса электронной почты на доменах @poslogic.pro и @finservice.pro и к тому же IP-адрес базы данных отличался только на 1 от IP-адреса сайта www.finservice.pro.

На сайте www.finservice.pro написано:

Компания Финсервис осуществляет свою деятельность с 2012 года и является ведущим независимым финансовым брокером в сфере POS-кредитования на рынке России. На данный момент Финсервис входит в состав крупного многопрофильного холдинга, насчитывает более 200 сотрудников и проводит активную экспансию во все регионы России.
Мы являемся разработчиком и правообладателем ведущей на рынке POS-кредитования платформы — Poslogic. Платформа интегрирована со всеми банками-лидерами в данном сегменте и позволяет оптимизировать процессы, связанные с выдачей потребительских кредитов, увеличивать выручку торговых организаций и удовлетворять любые запросы клиентов.

Загуглил, что такое POS-кредитование (информация с www.banki.ru):

POS-кредитование (POS — Point Of Sale) — направление розничного бизнеса банков, предусматривающее выдачу кредитов на определенные товары непосредственно в торговых точках. Этот бизнес считается высокодоходным, но при этом и высокорискованным. Как правило, такие кредиты отличают высокие процентные ставки — больше 30%, но в то же время быстрое принятие решения (до часа).

На мои сообщения по электронной почте, через Facebook Messenger, через публичный пост в Facebook компания не реагировала. Почта info@finservice.pro, указанная на сайте, вообще не работает, в соцсетях запустение. Пришлось поискать на сайте почту сотрудников и писать на нее. Никакого ответа, разумеется, не последовало…

Однако, 21-го марта около 5 вечера (по Москве) база данных исчезла из свободного доступа. Отдельно хочу отметить, что за время наблюдения база постоянно обновлялась и дополнялась новыми записями. Например, за один день в ней появилось более 50 новых заявок на кредиты.

В базе данных содержалось:

  • Более 294 тыс. заемщиков: ФИО, место рождения, дата рождения, количество детей, количество иждивенцев, девичья фамилия матери, состоит в браке или нет, образование, номер мобильного телефона, номер стационарного телефона, адрес электронной почты, адрес регистрации, адрес фактического места жительства, полные паспортные данные.

Все ваши потребкредиты и персональные данные «в одном месте»… - 3

Все заемщики были из Южного, Уральского и Приволжского федеральных округов (адреса проживания).

  • Более 183 тыс. данных о кредитах: размер кредита, статус кредита, дата выдачи, идентификатор банка, идентификатор заемщика, график платежей по кредиту и т.п.

Все ваши потребкредиты и персональные данные «в одном месте»… - 4

  • Более 819 тыс. отсканированных документов: тип документа, название файла, ссылка на JPG-файл, статус, дата и т.п.

    { 
    "_id" : ObjectId("5c925eb52fc14e00019d1907"), 
    "_type" : "QuestionaryDocumentScan", 
    "doctype" : "pd_agreement", 
    "title" : "Соглашение об обработке персональных данных", 
    "filename" : "1.jpg", 
    "status" : NumberInt(0), 
    "status_text" : "Загружен", 
    "questionary_id" : ObjectId("5c925c8a4624cb000141cfb5"), 
    "sent" : false, 
    "required_resend" : false, 
    "scan" : "5c925eb52fc14e00019d1907.jpg", 
    "updated_at" : ISODate("2019-03-20T15:39:33.591+0000"), 
    "created_at" : ISODate("2019-03-20T15:39:33.591+0000")
    }

  • Более 246 тыс. фотографий людей, подававших заявки на кредиты, сделанных с веб-камер в точках продаж, в формате JPG.

Все ваши потребкредиты и персональные данные «в одном месте»… - 5Все ваши потребкредиты и персональные данные «в одном месте»… - 6

(лица искажены для статьи)

  • Более 5 тыс. внутренних пользователей системы: ФИО, дата рождения, логин и хешированный пароль, мобильный телефон, адреса электронной почты на доменах @poslogic.pro и @finservice.pro.

Все ваши потребкредиты и персональные данные «в одном месте»… - 7

  • Более 2.5 тыс. партнеров (видимо точек продаж товаров, на которые брались кредиты): название, банковские реквизиты, фактический адрес, юридический адрес, контакты и т.п.

Все ваши потребкредиты и персональные данные «в одном месте»… - 8

  • Более 1 тыс. кредитных продуктов: название, идентификатор банка, размер комиссии и т.п.

Все ваши потребкредиты и персональные данные «в одном месте»… - 9

  • Совсем небольшой (862) «черный список» заемщиков.

Все ваши потребкредиты и персональные данные «в одном месте»… - 10

  • и очень много другой информации, содержащей персональные данные.

Новости про утечки информации и инсайдеров всегда можно найти на моем Telegram-канале «Утечки информации».

Автор: Ashot Oganesyan

Источник

* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js