Бесплатно Экспресс-аудит сайта:

27.05.2022

Раскрыты персональные данные 10 млн. россиян и украинцев

Команда безопасности SafetyDetectives во главе с Анурагом Сеном поделилась подробностями утечки данных миллионов клиентов МФО из-за неправильно сконфигурированного сервера Elasticsearch. Данные в основном принадлежали жителям Украины, Казахстана и России.

Сервер был обнаружен 5 декабря 2021 года при проверке определенных IP-адресов, однако, подробности были опубликованы только на этой неделе. Анонимный сервер оказался незащищенным из-за отсутствия протоколов аутентификации, что привело к утечке более 870 млн. записей (147 ГБ данных).

SafetyDetectives не удалось определить владельца сервера. По словам исследователей, журналы клиентов многих сайтов МФО хранились на сервере. Однако, большинство сайтов принадлежали посредникам между кредитной компанией и заявителем. Большинство записей в логах сервера были на русском языке и множество данных принадлежали русскоязычным пользователям. После анализа эксперты пришли к выводу, что владельцем сервера является российская организация.

В результате этой утечки была раскрыта конфиденциальная информация, включая данные внутренних паспортов пользователей. Некоторые данные были написаны кириллицей, которая в основном используется в некоторых частях Азии и Европы.


Также персональные данные содержали следующую информацию:

  • Зарплата;
  • Количество детей;
  • Детали кредита;
  • Номер телефона;
  • Адрес электронной почты;
  • Статус занятости;
  • Информация об образовании;
  • Одноразовый пароль OTP SMS (One-time password);
  • ИНН (ИНН).

По предположениям исследователей, от утечки данных пострадают около 10 млн. пользователей. Многие логи серверов и номера паспортов принадлежали россиянам, а большинство ИНН принадлежали украинцам. Сервер находился в Амстердаме, Нидерланды.

В декабре 2021 года команда SafetyDetectives связалась с российским и голландским CERT, но обе группы отказались помочь. 13 января 2022 года эксперты связались с хостинговой фирмой, и в тот же день сервер был защищен.

Учитывая объем и характер раскрытых данных, инцидент может иметь опасные последствия. Используя раскрытые данные, злоумышленник может осуществить фишинг, мошенническую маркетинговую кампанию и мошенничество с микрозаймами.