🥇Visi Tavi patēriņa kredīti un personas dati “vienā vietā”...

Turpinām noplūžu maratonu no Krievijas datubāzēm, kuras to īpašnieki atstājuši publiskajā telpā.

Visi jūsu patēriņa kredīti un personas dati “vienā vietā”...

Šoreiz tika atklāta MongoDB datu bāze, kurai nebija nepieciešama autentifikācija, ar Dienvidu, Urālu un Volgas federālo apgabalu aizņēmēju personas datiem un fotogrāfijām un visiem viņu kredīta pieteikumiem.

Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Скриншоты взяты либо из открытых источников, либо были предоставлены автору доброжелателями.

Aptuveni 158 GB lielā datu bāzē bija 74 kolekcijas un, saskaņā ar meklētājprogrammu BinaryEdge (apmēram kā tiek atklātas atvērtas bāzes dati no Elasticsearch un MongoDB (es uzrakstīju atsevišķu rakstu) bija publiski pieejami vismaz 11 dienas.

Visi jūsu patēriņa kredīti un personas dati “vienā vietā”...

Pamatojoties uz netiešiem pierādījumiem, tika izdarīts pieņēmums par iespējamo datu bāzes īpašnieku: visi (5042) lietotāji no kolekcijas Lietotāji bija e-pasta adreses domēnos @poslogic.pro un @finservice.pro un turklāt datu bāzes IP adrese atšķīrās tikai par 1 no vietnes IP adreses www.finservice.pro.

Vietā www.finservice.pro rakstīts:

Uzņēmums Finservice darbojas kopš 2012. gada un ir vadošais neatkarīgais finanšu brokeris POS kreditēšanas jomā Krievijas tirgū. Šobrīd Finservice ir daļa no liela daudzveidīga holdinga, tajā strādā vairāk nekā 200 darbinieku un tas aktīvi izvēršas visos Krievijas reģionos.
Mēs esam tirgū vadošās POS aizdevumu platformas Poslogic izstrādātāji un autortiesību turētāji. Platforma ir integrēta ar visām vadošajām šī segmenta bankām un ļauj optimizēt ar patēriņa kredītu izsniegšanu saistītos procesus, palielināt tirdzniecības organizāciju ieņēmumus un apmierināt jebkuru klientu pieprasījumu.

Pameklēju googlē, kas ir POS aizdevumi (informācija no www.banki.ru):

POS kreditēšana (POS - Point Of Sale) ir banku mazumtirdzniecības biznesa virziens, kas nodrošina kredītu izsniegšanu noteiktām precēm tieši mazumtirdzniecības vietās. Šis bizness tiek uzskatīts par ļoti ienesīgu, bet arī ar augstu risku. Parasti šādiem kredītiem ir raksturīgas augstas procentu likmes - vairāk nekā 30%, bet tajā pašā laikā ātra lēmumu pieņemšana (līdz stundai).

Uzņēmums neatbildēja uz maniem ziņojumiem pa e-pastu, Facebook Messenger vai publisko ziņu Facebook. Pasts info@finservice.pro, norādīts mājaslapā, nedarbojas vispār, sociālie tīkli ir pamesti. Man bija jāmeklē darbinieku e-pasts vietnē un jāraksta uz to. Protams, atbildes nebija...

Taču 21. martā ap pulksten 5 (pēc Maskavas laika) datubāze pazuda no publiskās piekļuves. Atsevišķi vēlos atzīmēt, ka novērošanas periodā datubāze tika pastāvīgi atjaunināta un papildināta ar jauniem ierakstiem. Piemēram, vienas dienas laikā parādījās vairāk nekā 50 jauni kredīta pieteikumi.

Datubāze saturēja:

Vairāk nekā 294 tūkstoši kredītņēmēju: pilns vārds, dzimšanas vieta, dzimšanas datums, bērnu skaits, apgādājamo skaits, mātes pirmslaulības uzvārds, precējies vai nē, izglītība, mobilā tālruņa numurs, fiksētā tālruņa numurs, e-pasta adrese, reģistrācijas adrese, fiziskā dzīvesvietas adrese, pilna pases informācija.

Visi jūsu patēriņa kredīti un personas dati “vienā vietā”...

Visi aizņēmēji bija no Dienvidu, Urālu un Volgas federālajiem apgabaliem (dzīvesvietas adreses).

Vairāk nekā 183 tūkstoši datu par kredītiem: aizdevuma lielums, aizdevuma statuss, izsniegšanas datums, bankas ID, aizņēmēja ID, kredīta maksājumu grafiks u.c.

Visi jūsu patēriņa kredīti un personas dati “vienā vietā”...

Vairāk nekā 819 tūkstoši skenētu dokumentu: dokumenta veids, faila nosaukums, saite uz JPG failu, statuss, datums utt.

{ 
"_id" : ObjectId("5c925eb52fc14e00019d1907"), 
"_type" : "QuestionaryDocumentScan", 
"doctype" : "pd_agreement", 
"title" : "Соглашение об обработке персональных данных", 
"filename" : "1.jpg", 
"status" : NumberInt(0), 
"status_text" : "Загружен", 
"questionary_id" : ObjectId("5c925c8a4624cb000141cfb5"), 
"sent" : false, 
"required_resend" : false, 
"scan" : "5c925eb52fc14e00019d1907.jpg", 
"updated_at" : ISODate("2019-03-20T15:39:33.591+0000"), 
"created_at" : ISODate("2019-03-20T15:39:33.591+0000")
}

Vairāk nekā 246 tūkstoši cilvēku, kuri pieteicās kredītam, fotogrāfiju, kas uzņemtas no tīmekļa kamerām tirdzniecības vietās, JPG formātā.

Visi jūsu patēriņa kredīti un personas dati “vienā vietā”...

(rakstam izkropļotas sejas)

Vairāk nekā 5 tūkstoši sistēmas iekšējo lietotāju: pilns vārds, dzimšanas datums, pieteikšanās un jauktā parole, mobilais tālrunis, e-pasta adreses domēnos @poslogic.pro и @finservice.pro.

Visi jūsu patēriņa kredīti un personas dati “vienā vietā”...

Vairāk nekā 2.5 tūkstoši partneru (acīmredzot preču tirdzniecības vietas, kurām ņemti kredīti): vārds, bankas rekvizīti, faktiskā adrese, juridiskā adrese, kontakti utt.

Visi jūsu patēriņa kredīti un personas dati “vienā vietā”...