Urang neruskeun marathon bocor tina database Rusia ditinggalkeun dina domain publik ku nu boga maranéhanana.
Waktos ieu, databés MongoDB kapanggih anu henteu meryogikeun auténtikasi, kalayan data pribadi sareng poto peminjam ti Distrik Federal Kidul, Ural sareng Volga sareng sadaya aplikasi pinjamanna.
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Скриншоты взяты либо из открытых источников, либо были предоставлены автору доброжелателями.Basis data, ukuranana sakitar 158 GB, ngandung 74 koleksi sareng, numutkeun mesin pencari BinaryEdge (kira-kira Data Elasticsearch sareng MongoDB, kuring nyerat tulisan anu misah) sayogi sayogi sahenteuna 11 dinten.
Dumasar bukti teu langsung, asumsi dijieun ngeunaan kamungkinan boga database: sadaya (5042) pamaké ti kumpulan pamaké kagungan alamat surélék dina domain @poslogic.pro sareng @finservice.pro jeung sajaba ti, alamat IP tina database differed ku ngan 1 ti alamat IP loka éta www.finservice.pro.
loka www.finservice.pro ditulis:
Perusahaan Finservice parantos beroperasi ti saprak 2012 sareng mangrupikeun calo finansial mandiri anu unggul dina widang pinjaman POS di pasar Rusia. Dina momen, Finservice mangrupakeun bagian tina nyekel diversified badag, boga leuwih ti 200 pagawé sarta aktip ngembangna ka sakuliah wewengkon Rusia.
Kami mangrupikeun pamekar sareng anu gaduh hak cipta tina platform pinjaman POS terkemuka di pasar - Poslogic. Platformna diintegrasikeun sareng sadaya bank utama dina bagean ieu sareng ngamungkinkeun anjeun pikeun ngaoptimalkeun prosés anu aya hubunganana sareng ngaluarkeun pinjaman konsumen, ningkatkeun pendapatan organisasi dagang sareng nyugemakeun pamundut palanggan.
Kuring googled naon POS lending (inpormasi ti www.banki.ru):
Pinjaman POS (POS - Point Of Sale) nyaéta arah bisnis ritel bank, nyayogikeun pikeun ngaluarkeun pinjaman pikeun barang-barang tertentu langsung di toko ritel. Usaha ieu dianggap kacida nguntungkeun, tapi ogé résiko luhur. Sakumaha aturan, gajian sapertos dicirikeun ku ongkos dipikaresep tinggi - leuwih ti 30%, tapi dina waktos anu sareng gancang nyieun kaputusan (nepi ka sajam).
Pausahaan henteu ngabales pesen kuring liwat email, Facebook Messenger, atanapi pos umum dina Facebook. Surat info@finservice.pro, dituduhkeun dina website, teu dianggo pisan, jaringan sosial anu sepi. Kuring kedah milarian email karyawan dina halaman wéb sareng nyerat. Tangtosna, teu aya jawaban ...
Nanging, dina 21 Maret sakitar jam 5 sonten (waktos Moskow) pangkalan data ngaleungit tina aksés umum. Kapisah, abdi hoyong dicatet yén salila periode observasi, database ieu terus diropéa sarta supplemented kalawan éntri anyar. Contona, dina hiji poé leuwih ti 50 aplikasi injeuman anyar mucunghul.
Database ngandung:
- Langkung ti 294 rébu peminjam: nami lengkep, tempat lahir, tanggal lahir, jumlah murangkalih, jumlah tanggungan, nami awéwé indung, nikah atanapi henteu, pendidikan, nomer telepon sélulér, nomer telepon darat, alamat email, alamat pendaptaran, fisik. alamat tinggal, rinci paspor pinuh.
Sadaya peminjam éta ti Distrik Federal Kidul, Ural sareng Volga (alamat tempatna).
- Langkung ti 183 rébu data ngeunaan pinjaman: ukuran injeuman, status injeuman, tanggal dikaluarkeun, ID bank, ID peminjam, jadwal pembayaran injeuman, jsb.
Langkung ti 819 rébu dokumén anu diseken: jinis dokumén, nami file, tautan kana file JPG, status, tanggal, jsb.
{ "_id" : ObjectId("5c925eb52fc14e00019d1907"), "_type" : "QuestionaryDocumentScan", "doctype" : "pd_agreement", "title" : "Соглашение об обработке персональных данных", "filename" : "1.jpg", "status" : NumberInt(0), "status_text" : "Загружен", "questionary_id" : ObjectId("5c925c8a4624cb000141cfb5"), "sent" : false, "required_resend" : false, "scan" : "5c925eb52fc14e00019d1907.jpg", "updated_at" : ISODate("2019-03-20T15:39:33.591+0000"), "created_at" : ISODate("2019-03-20T15:39:33.591+0000") }Langkung ti 246 rébu poto jalma anu ngalamar pinjaman, dicandak tina kaméra wéb di tempat penjualan, dina format JPG.
(beungeut menyimpang pikeun artikel)
- Langkung ti 5 rébu pangguna internal sistem: nami lengkep, tanggal lahir, login sareng kecap konci hashed, telepon sélulér, alamat email dina domain. @poslogic.pro и @finservice.pro.
- Leuwih ti 2.5 sarébu mitra (tétéla titik diobral barang nu injeuman dicokot): ngaran, rinci bank, alamat sabenerna, alamat légal, kontak, jsb.
- Langkung ti 1 rébu produk pinjaman: nami, ID bank, jumlah komisi, jsb.
- A pisan leutik (862) "daptar hideung" borrowers.
- sareng seueur inpormasi sanésna anu ngandung data pribadi.
Warta ngeunaan bocor inpormasi sareng insider tiasa dipendakan dina saluran Telegram kuring "".
sumber: www.habr.com
