Первым утечку данных из бюро кредитных историй (БКИ) «Эквифакс» обнаружил исследователь в области кибербезопасности, глава проекта Security Discovery Боб Дяченко, сообщает «Коммерсант».
Название базы отсылает к МФО «ГринМани», выдававшей онлайн-займы. IP-адрес сервера ведет на служебную страницу сайта компании, использовавшуюся для тестирования.
При этом более 1 млн записей приходилось на бюро кредитных историй (БКИ) «Эквифакс».
В открытом доступе оказались паспортные данные заемщиков, адреса регистрации и фактического места жительства, номера мобильных телефонов, а также информация о кредитах и скоринговом балле.
Дяченко пояснил, что обнаружил открытую систему управления базами данных (СУБД) MongoDB 10 октября, но она была проиндексирована специализированными поисковиками вроде Shodan или BinaryEdge еще 28 августа.
Владелец сервера не реагировал на попытки с ним связаться, и специалист сообщил о проблеме в БКИ, после чего база данных была закрыта. Однако так как поисковики проиндексировали ее давно, то шансы, что успели скачать злоумышленники, высокие.
В первой половине 2019 года «ГринМани» занимала 13-е место по общему размеру портфеля микрозаймов среди российских МФО, однако сентябре Центробанк исключил организацию из реестра МФО за нарушения в отношении заемщиков и из-за недостоверной отчетности.
Директор «ГринМани» Андрей Луцык заявил, что по данному факту началась проверка, до окончания которой «преждевременно говорить, что произошла какая-либо утечка».
В «Эквифакс» заверили, что оттуда данные не утекали.
Несмотря на то, что сервер, на котором располагалась в свободном доступе MongoDB, был тестовым, он, скорее всего, содержал копию реальной базы, предназначенную для разработчиков, считает основатель DeviceLock Ашот Оганесян.
По словам эксперта, такие происшествия уже случались с другими МФО.
«Даже банки часто относятся к своим обязанностям халатно, и МФО от них не отстают. Пока ответственность за утечки не усилят, мы будем получать такие печальные новости», – сказал гендиректор Zecurion Алексей Раевский.
Ранее сообщалось об утечке данных о порядка 60 млн кредитных карт Сбербанка. В Сбербанке подтвердили, что расследуют утечку персональных данных клиентов, однако, по версии банка, она коснулась лишь 200 клиентов организации.