Ne vazhdojmë maratonën e rrjedhjeve nga bazat e të dhënave ruse të lëna në domenin publik nga pronarët e tyre.
Këtë herë, u zbulua një bazë të dhënash MongoDB që nuk kërkonte vërtetim, me të dhëna personale dhe fotografi të huamarrësve nga Distrikti Federal Jugor, Ural dhe Vollga dhe të gjitha aplikimet e tyre për kredi.
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Скриншоты взяты либо из открытых источников, либо были предоставлены автору доброжелателями.Baza e të dhënave, me madhësi rreth 158 GB, përmbante 74 koleksione dhe, sipas motorit të kërkimit BinaryEdge (rreth të dhënat nga Elasticsearch dhe MongoDB (kam shkruar një artikull të veçantë) ishin në domenin publik për të paktën 11 ditë.
Bazuar në dëshmi indirekte, u bë një supozim në lidhje me pronarin e mundshëm të bazës së të dhënave: të gjithë (5042) përdoruesit nga koleksioni përdoruesit kishte adresa emaili në domene @poslogic.pro dhe @finservice.pro dhe përveç kësaj, adresa IP e bazës së të dhënave ndryshonte vetëm me 1 nga adresa IP e faqes www.finservice.pro.
Faqe www.finservice.pro shkruar:
Kompania Finservice ka operuar që nga viti 2012 dhe është një ndërmjetës kryesor financiar i pavarur në fushën e huadhënies POS në tregun rus. Për momentin, Finservice është pjesë e një kompanie të madhe të larmishme, ka më shumë se 200 punonjës dhe po zgjerohet në mënyrë aktive në të gjitha rajonet e Rusisë.
Ne jemi zhvilluesi dhe mbajtësi i të drejtave të autorit të platformës kryesore të huadhënies POS në treg - Poslogic. Platforma është e integruar me të gjitha bankat kryesore në këtë segment dhe ju lejon të optimizoni proceset që lidhen me dhënien e kredive konsumatore, të rrisni të ardhurat e organizatave tregtare dhe të kënaqni çdo kërkesë të klientit.
Kërkova në google se çfarë është kreditimi në POS (informacione nga www.banki.ru):
Kreditimi me POS (POS - Point Of Sale) është një drejtim i biznesit me pakicë të bankave, që parashikon dhënien e kredive për mallra të caktuara direkt në pikat e shitjes me pakicë. Ky biznes konsiderohet shumë fitimprurës, por edhe me rrezikshmëri të lartë. Si rregull, kredi të tilla karakterizohen nga norma të larta interesi - më shumë se 30%, por në të njëjtën kohë vendimmarrje të shpejtë (deri në një orë).
Kompania nuk iu përgjigj mesazheve të mia përmes emailit, Facebook Messenger ose postimit publik në Facebook. Postë info@finservice.pro, i treguar në faqen e internetit, nuk funksionon fare, rrjetet sociale janë të shkreta. Më duhej të kërkoja emailin e punonjësve në faqen e internetit dhe t'i shkruaja. Natyrisht, nuk pati përgjigje...
Megjithatë, më 21 mars rreth orës 5:50 (koha e Moskës) baza e të dhënave u zhduk nga aksesi publik. Më vete, dua të vërej se gjatë periudhës së vëzhgimit, baza e të dhënave azhurnohej vazhdimisht dhe plotësohej me hyrje të reja. Për shembull, në një ditë u shfaqën më shumë se XNUMX kërkesa të reja për kredi.
Baza e të dhënave përmbante:
- Më shumë se 294 mijë huamarrës: emri i plotë, vendlindja, data e lindjes, numri i fëmijëve, numri i personave në ngarkim, mbiemri i vajzërisë së nënës, i martuar ose jo, arsimi, numri i celularit, numri i telefonit fiks, adresa e emailit, adresa e regjistrimit, fizike adresa e vendbanimit, të dhënat e plota të pasaportës.
Të gjithë huamarrësit ishin nga Rrethet Federale Jugore, Ural dhe Vollga (adresat e vendbanimit).
- Më shumë se 183 mijë të dhëna për kreditë: madhësia e kredisë, statusi i kredisë, data e lëshimit, ID e bankës, ID e huamarrësit, plani i pagesës së kredisë, etj.
Më shumë se 819 mijë dokumente të skanuara: lloji i dokumentit, emri i skedarit, lidhja me skedarin JPG, statusi, data, etj.
{ "_id" : ObjectId("5c925eb52fc14e00019d1907"), "_type" : "QuestionaryDocumentScan", "doctype" : "pd_agreement", "title" : "Соглашение об обработке персональных данных", "filename" : "1.jpg", "status" : NumberInt(0), "status_text" : "Загружен", "questionary_id" : ObjectId("5c925c8a4624cb000141cfb5"), "sent" : false, "required_resend" : false, "scan" : "5c925eb52fc14e00019d1907.jpg", "updated_at" : ISODate("2019-03-20T15:39:33.591+0000"), "created_at" : ISODate("2019-03-20T15:39:33.591+0000") }Më shumë se 246 mijë fotografi të personave që aplikuan për kredi, të marra nga kamerat e internetit në pikat e shitjes, në formatin JPG.
(fytyrat e shtrembëruara për artikullin)
- Më shumë se 5 mijë përdorues të brendshëm të sistemit: emri i plotë, data e lindjes, identifikimi dhe fjalëkalimi i hash, telefoni celular, adresat e emailit në domene @poslogic.pro и @finservice.pro.
- Më shumë se 2.5 mijë partnerë (me sa duket pikat e shitjes së mallrave për të cilat janë marrë kredi): emri, të dhënat bankare, adresa aktuale, adresa ligjore, kontaktet, etj.
- Më shumë se 1 mijë produkte kredie: emri, ID bankare, shuma e komisionit, etj.
- Një "listë e zezë" shumë e vogël (862) e huamarrësve.
- dhe shumë informacione të tjera që përmbajnë të dhëna personale.
Lajmet rreth rrjedhjeve të informacionit dhe të brendshëm mund të gjenden gjithmonë në kanalin tim Telegram "'.
Burimi: www.habr.com
