Данные тысяч заемщиков ENCollect утекли в сеть

Находящийся в открытом доступе экземпляр сервера ElasticSearch содержал конфиденциальную финансовую информацию о кредитах, выданных индийскими и африканскими финансовыми службами. По словам экспертов из UpGuard, утечка составила 5,8 ГБ и состояла из 1 686 363 записей.

"Записи включали личную информацию пользователя: имя, сумму кредита, дата рождения, номер счета и многое другое", – говорится в отчете UpGuard. "В базе данных было 48 043 уникальных адреса электронной почты, некоторые из которых принадлежали администраторам сервиса, корпоративным клиентам и коллекторским агентствам, прикрепленным к каждому делу".

Специалисты из UpGuard 16 февраля 2022 года обнаружили экземпляр сервера, используемый в качестве хранилища данных для платформы по сбору долгов ENCollect. После вмешательства индийской команды CERT-In (Computer Emergency Response Team), с 28 февраля сервер был закрыт для публичного доступа. ENCollect – приложение для сбора кредитов, предоставляющее коллекторским агентствам данные о непогашенных займах. UpGuard заявила, что утекшие записи содержали в себе не только информацию о кредитах от служб Lendingkart, IndiaLends, Shubh Loans (MyShubhLife), Centrum, Rosabo и Accion, но и личные данные заемщиков.

Отредактированный пример одной записи с именем пользователя, номером мобильного телефона и метаданными кредита.

Кроме того, набор данных включал 114 747 почтовых адресов, 105 974 номера телефонов и информацию о суммах 157 403 займов. Часть записей также содержала дополнительную информацию – контакты созаявителей, членов семьи и другие личные данные.

Несмотря на то, что сервер ENCollect уже защищен, злоумышленники могут использовать утекшие данные для мошенничества, вымогательства и даже маскировки под сотрудников коллекторских агентств.

Специалисты из UpGuard говорят, что цифровизация финансовых услуг предоставляет много возможностей для повышения эффективности сервисов по типу ENCollect, но при этом создает неожиданные риски в цепочке поставок. По мнению экспертов, цифровые решения поставщиков могут стать причиной утечек, когда их наборы данных собираются из источников нескольких сторонних компаний. В прошлом месяце мы писали про утечку данных клиентов CashApp. В сеть попали данные 8,2 миллионов пользователей, включая полные имена клиентов и номера брокерских счетов.