Хабрахабр

Все ваши потребкредиты и персональные данные «в одном месте»…

Продолжаем марафон утечек из российских баз данных, оставленных их владельцами в открытом доступе.

На этот раз была обнаружена база MongoDB, не требующая аутентификации, с персональными данными и фотографиями заемщиков из Южного, Уральского и Приволжского федеральных округов и всеми их заявками на кредиты.

Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Скриншоты взяты либо из открытых источников, либо были предоставлены автору доброжелателями.

База данных, размером около 158 Гб содержала 74 коллекции (collections) и по данным поисковика BinaryEdge (про то, как обнаруживают открытые базы данных Elasticsearch и MongoDB я писал отдельную статью), находилась в свободном доступе как минимум 11 дней.

По косвенным признакам было сделано предположение относительно возможного владельца базы: все (5042) пользователи из коллекции users имели адреса электронной почты на доменах @poslogic.pro и @finservice.pro и к тому же IP-адрес базы данных отличался только на 1 от IP-адреса сайта www.finservice.pro.

На сайте www.finservice.pro написано:

На данный момент Финсервис входит в состав крупного многопрофильного холдинга, насчитывает более 200 сотрудников и проводит активную экспансию во все регионы России.
Мы являемся разработчиком и правообладателем ведущей на рынке POS-кредитования платформы — Poslogic. Компания Финсервис осуществляет свою деятельность с 2012 года и является ведущим независимым финансовым брокером в сфере POS-кредитования на рынке России. Платформа интегрирована со всеми банками-лидерами в данном сегменте и позволяет оптимизировать процессы, связанные с выдачей потребительских кредитов, увеличивать выручку торговых организаций и удовлетворять любые запросы клиентов.

Загуглил, что такое POS-кредитование (информация с www.banki.ru):

Этот бизнес считается высокодоходным, но при этом и высокорискованным. POS-кредитование (POS — Point Of Sale) — направление розничного бизнеса банков, предусматривающее выдачу кредитов на определенные товары непосредственно в торговых точках. Как правило, такие кредиты отличают высокие процентные ставки — больше 30%, но в то же время быстрое принятие решения (до часа).

Почта info@finservice.pro, указанная на сайте, вообще не работает, в соцсетях запустение. На мои сообщения по электронной почте, через Facebook Messenger, через публичный пост в Facebook компания не реагировала. Никакого ответа, разумеется, не последовало… Пришлось поискать на сайте почту сотрудников и писать на нее.

Отдельно хочу отметить, что за время наблюдения база постоянно обновлялась и дополнялась новыми записями. Однако, 21-го марта около 5 вечера (по Москве) база данных исчезла из свободного доступа. Например, за один день в ней появилось более 50 новых заявок на кредиты.

В базе данных содержалось:

  • Более 294 тыс. заемщиков: ФИО, место рождения, дата рождения, количество детей, количество иждивенцев, девичья фамилия матери, состоит в браке или нет, образование, номер мобильного телефона, номер стационарного телефона, адрес электронной почты, адрес регистрации, адрес фактического места жительства, полные паспортные данные.

Все заемщики были из Южного, Уральского и Приволжского федеральных округов (адреса проживания).

  • Более 183 тыс. данных о кредитах: размер кредита, статус кредита, дата выдачи, идентификатор банка, идентификатор заемщика, график платежей по кредиту и т.п.

  • отсканированных документов: тип документа, название файла, ссылка на JPG-файл, статус, дата и т.п. Более 819 тыс.

    { "_id" : ObjectId("5c925eb52fc14e00019d1907"), "_type" : "QuestionaryDocumentScan", "doctype" : "pd_agreement", "title" : "Соглашение об обработке персональных данных", "filename" : "1.jpg", "status" : NumberInt(0), "status_text" : "Загружен", "questionary_id" : ObjectId("5c925c8a4624cb000141cfb5"), "sent" : false, "required_resend" : false, "scan" : "5c925eb52fc14e00019d1907.jpg", "updated_at" : ISODate("2019-03-20T15:39:33.591+0000"), "created_at" : ISODate("2019-03-20T15:39:33.591+0000")
    }

  • фотографий людей, подававших заявки на кредиты, сделанных с веб-камер в точках продаж, в формате JPG. Более 246 тыс.

(лица искажены для статьи)

  • Более 5 тыс. внутренних пользователей системы: ФИО, дата рождения, логин и хешированный пароль, мобильный телефон, адреса электронной почты на доменах @poslogic.pro и @finservice.pro.

  • Более 2.5 тыс. партнеров (видимо точек продаж товаров, на которые брались кредиты): название, банковские реквизиты, фактический адрес, юридический адрес, контакты и т.п.

  • Более 1 тыс. кредитных продуктов: название, идентификатор банка, размер комиссии и т.п.

  • Совсем небольшой (862) «черный список» заемщиков.

  • и очень много другой информации, содержащей персональные данные.

Новости про утечки информации и инсайдеров всегда можно найти на моем Telegram-канале «Утечки информации».

Теги
Показать больше

Похожие статьи

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Кнопка «Наверх»
Закрыть