Всі ваші споживчі кредити та персональні дані «в одному місці»…

Продовжуємо марафон витоків із російських баз даних, залишених їхніми власниками у відкритому доступі.

Цього разу було виявлено базу MongoDB, яка не потребує аутентифікації, з персональними даними та фотографіями позичальників з Південного, Уральського та Приволзького федеральних округів та всіма їхніми заявками на кредити.

Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Скриншоты взяты либо из открытых источников, либо были предоставлены автору доброжелателями.

База даних, розміром близько 158 Гб містила 74 колекції (collections) та за даними пошуковика BinaryEdge (про те, як виявляють відкриті бази даних Elasticsearch і MongoDB (я писав окрему статтю), що знаходилася у вільному доступі як мінімум 11 днів.

За непрямими ознаками було зроблено припущення щодо можливого власника бази: всі (5042) користувачі з колекції користувачі мали адреси електронної пошти на доменах @poslogic.pro і @finservice.pro і до того ж IP-адреса бази даних відрізнялася тільки на 1 від IP-адреси сайту www.finservice.pro.

На сайті www.finservice.pro написано:

Компанія Фінсервіс здійснює свою діяльність з 2012 року та є провідним незалежним фінансовим брокером у сфері POS-кредитування на ринку Росії. На даний момент Фінсервіс входить до складу великого багатопрофільного холдингу, налічує понад 200 співробітників та проводить активну експансію у всі регіони Росії.
Ми є розробником та правовласником провідної на ринку POS-кредитування платформи – Poslogic. Платформа інтегрована з усіма банками-лидерами у цьому сегменті дозволяє оптимізувати процеси, пов'язані з видачею споживчих кредитів, збільшувати виручку торгових організацій і задовольняти будь-які запити клієнтів.

Загугло, що таке POS-кредитування (інформація з www.banki.ru):

POS-кредитування (POS - Point Of Sale) - напрямок роздрібного бізнесу банків, що передбачає видачу кредитів на певні товари безпосередньо в торгових точках. Цей бізнес вважається високоприбутковим, але при цьому високоризикованим. Як правило, такі кредити відрізняють високі відсоткові ставки — понад 30%, але водночас швидке ухвалення рішення (до години).

На мої повідомлення електронною поштою, через Facebook Messenger, через публічний пост у Facebook компанія не реагувала. Пошта info@finservice.pro, Вказана на сайті, взагалі не працює, в соцмережах запустіння. Довелося пошукати на сайті пошту співробітників та писати на неї. Жодної відповіді, зрозуміло, не було…

Проте, 21 березня близько 5 вечора (по Москві) база даних зникла з вільного доступу. Окремо хочу наголосити, що за час спостереження база постійно оновлювалася та доповнювалася новими записами. Наприклад, за один день у ній з'явилося понад 50 нових заявок на кредити.

У базі даних містилося:

• Понад 294 тис. позичальників: ПІБ, місце народження, дата народження, кількість дітей, кількість утриманців, дівоче прізвище матері, одружена чи ні, освіта, номер мобільного телефону, номер стаціонарного телефону, адреса електронної пошти, адреса реєстрації, адреса фактичного місця проживання, повні паспортні дані.

Усі позичальники були з Південного, Уральського та Приволзького федеральних округів (адреси проживання).

• Понад 183 тис. даних про кредити: розмір кредиту, статус кредиту, дата видачі, ідентифікатор банку, ідентифікатор позичальника, графік платежів за кредитом тощо.

• Більше 819 тис. відсканованих документів: тип документа, назва файлу, посилання на JPG-файл, статус, дата тощо.

  { 
  "_id" : ObjectId("5c925eb52fc14e00019d1907"), 
  "_type" : "QuestionaryDocumentScan", 
  "doctype" : "pd_agreement", 
  "title" : "Соглашение об обработке персональных данных", 
  "filename" : "1.jpg", 
  "status" : NumberInt(0), 
  "status_text" : "Загружен", 
  "questionary_id" : ObjectId("5c925c8a4624cb000141cfb5"), 
  "sent" : false, 
  "required_resend" : false, 
  "scan" : "5c925eb52fc14e00019d1907.jpg", 
  "updated_at" : ISODate("2019-03-20T15:39:33.591+0000"), 
  "created_at" : ISODate("2019-03-20T15:39:33.591+0000")
  }

• Понад 246 тис. фотографій людей, які подавали заявки на кредити, зроблені з веб-камер у точках продажу, у форматі JPG.

(Особи спотворені для статті)

• Понад 5 тис. внутрішніх користувачів системи: ПІБ, дата народження, логін та хешований пароль, мобільний телефон, адреси електронної пошти на доменах @poslogic.pro и @finservice.pro.

• Понад 2.5 тис. партнерів (мабуть точок продажу товарів, на які бралися кредити): назва, банківські реквізити, фактична адреса, юридична адреса, контакти тощо.

• Понад 1 тис. кредитних продуктів: назва, ідентифікатор банку, розмір комісії тощо.

• Зовсім невеликий (862) "чорний список" позичальників.

• і багато іншої інформації, що містить персональні дані.

Новини про виток інформації та інсайдерів завжди можна знайти на моєму Telegram-каналі «Виток інформації».

Джерело: habr.com