כל ההלוואות הצרכניות והנתונים האישיים שלך "במקום אחד"...

אנו ממשיכים במרתון ההדלפות ממאגרי מידע רוסיים שהושארו ברשות הציבור על ידי בעליהם.

הפעם התגלה מסד נתונים MongoDB שלא הצריך אימות, ובו נתונים אישיים ותצלומים של לווים מהמחוזות הפדרליים הדרומיים, אורל והוולגה וכל בקשות ההלוואה שלהם.

Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Скриншоты взяты либо из открытых источников, либо были предоставлены автору доброжелателями.

מסד הנתונים, בגודל של כ-158 ג'יגה-בייט, הכיל 74 אוספים ולפי מנוע החיפוש BinaryEdge (בערך כיצד מאתרים בסיסים פתוחים נתונים מ- Elasticsearch ו- MongoDB (כתבתי מאמר נפרד) היו ברשות הציבור במשך 11 ימים לפחות.

בהתבסס על ראיות עקיפות, הונחה הנחה לגבי הבעלים האפשריים של המאגר: כל (5042) המשתמשים מהאוסף משתמשים היו כתובות אימייל בדומיינים @poslogic.pro ו- @finservice.pro וחוץ מזה, כתובת ה-IP של מסד הנתונים הייתה שונה ב-1 בלבד מכתובת ה-IP של האתר www.finservice.pro.

האתר www.finservice.pro כתוב:

חברת Finservice פועלת משנת 2012 והיא מתווך פיננסי עצמאי מוביל בתחום הלוואות קופה בשוק הרוסי. נכון לעכשיו, Finservice הוא חלק מאחזקה מגוונת גדולה, מונה יותר מ-200 עובדים ומתרחב באופן פעיל לכל אזורי רוסיה.
אנחנו המפתחים ובעלי זכויות היוצרים של פלטפורמת ההלוואות POS המובילה בשוק - Poslogic. הפלטפורמה משולבת עם כל הבנקים המובילים בסגמנט זה ומאפשרת לייעל תהליכים הקשורים להנפקת הלוואות צרכניות, להגדיל את ההכנסות של ארגוני המסחר ולספק כל בקשת לקוח.

חיפשתי בגוגל מה זה הלוואות לקופה (מידע מ www.banki.ru):

הלוואות POS (POS - Point Of Sale) היא כיוון של עסקים קמעונאיים של בנקים, המספקת הלוואות עבור מוצרים מסוימים ישירות בחנויות קמעונאיות. עסק זה נחשב לרווחי ביותר, אך גם בעל סיכון גבוה. ככלל, הלוואות כאלה מאופיינות בריביות גבוהות - יותר מ-30%, אך יחד עם זאת קבלת החלטות מהירה (עד שעה).

החברה לא הגיבה להודעות שלי באמצעות דואר אלקטרוני, פייסבוק מסנג'ר או פוסט ציבורי בפייסבוק. דוֹאַר info@finservice.pro, המצוין באתר, אינו עובד כלל, הרשתות החברתיות שוממות. הייתי צריך לחפש את המייל של העובדים באתר ולכתוב אליו. כמובן שלא הייתה תשובה...

עם זאת, ב-21 במרץ בערך בשעה 5:50 (שעון מוסקבה) בסיס הנתונים נעלם מגישה ציבורית. בנפרד, אציין כי בתקופת התצפית, המאגר התעדכן כל הזמן והושלם בערכים חדשים. לדוגמה, ביום אחד הופיעו יותר מ-XNUMX בקשות חדשות להלוואה.

בסיס הנתונים הכיל:

• יותר מ-294 אלף לווים: שם מלא, מקום לידה, תאריך לידה, מספר ילדים, מספר תלויים, שם נעורים של האם, נשואים או לא, השכלה, מספר טלפון נייד, מספר טלפון קווי, כתובת מייל, כתובת רישום, פיזית כתובת מגורים, פרטי דרכון מלאים.

כל הלווים היו מהמחוזות הפדרליים הדרומיים, אוראל והוולגה (כתובות מגורים).

• יותר מ-183 אלף נתונים על הלוואות: גודל ההלוואה, מצב ההלוואה, תאריך הנפקה, תעודת זהות בנקאית, מזהה לווה, פריסת תשלומי הלוואה וכו'.

• יותר מ-819 אלף מסמכים סרוקים: סוג מסמך, שם קובץ, קישור לקובץ JPG, סטטוס, תאריך וכו'.

  { 
  "_id" : ObjectId("5c925eb52fc14e00019d1907"), 
  "_type" : "QuestionaryDocumentScan", 
  "doctype" : "pd_agreement", 
  "title" : "Соглашение об обработке персональных данных", 
  "filename" : "1.jpg", 
  "status" : NumberInt(0), 
  "status_text" : "Загружен", 
  "questionary_id" : ObjectId("5c925c8a4624cb000141cfb5"), 
  "sent" : false, 
  "required_resend" : false, 
  "scan" : "5c925eb52fc14e00019d1907.jpg", 
  "updated_at" : ISODate("2019-03-20T15:39:33.591+0000"), 
  "created_at" : ISODate("2019-03-20T15:39:33.591+0000")
  }

• יותר מ-246 אלף תמונות של אנשים שביקשו הלוואות, שצולמו ממצלמות אינטרנט בנקודות מכירה, בפורמט JPG.

(פרצופים מעוותים לכתבה)

• יותר מ-5 משתמשים פנימיים במערכת: שם מלא, תאריך לידה, התחברות וסיסמא hash, טלפון נייד, כתובות מייל בדומיינים @poslogic.pro и @finservice.pro.

• יותר מ-2.5 אלף שותפים (כנראה נקודות מכירה של סחורה שעבורן נלקחו הלוואות): שם, פרטי בנק, כתובת בפועל, כתובת חוקית, אנשי קשר וכו'.

• יותר מאלף מוצרי הלוואה: שם, תעודת זהות בנקאית, סכום עמלה וכו'.

• "רשימה שחורה" קטנה מאוד (862) של לווים.

• ומידע רב אחר המכיל נתונים אישיים.

חדשות על דליפות מידע ומקורבים תמיד ניתן למצוא בערוץ הטלגרם שלי "דליפות מידע".

מקור: www.habr.com