Ошибка в конфигурации базы данных на одном из серверов, который с большой долей вероятности принадлежит микрофинансовой организации, привела к тому, что больше миллиона кредитных историй россиян оказались в Сети в открытом доступе. Об этом рассказал в твиттере независимый исследователь по кибербезопасности, руководитель проекта Security Discovery Боб Дяченко.
«Российское кредитное агентство слило в интенерет базу данных с наборами данных кредитного скоринга, в том числе кредитные истории, хранящиеся в бюро "Эквифакс", речь идет о более 1 млн россиян, также в интернете оказались данные клиентов МТС, "Мегафона" и других с тысячами записей», — написал он.
Позднее Дяченко пояснил «Коммерсанту», что обнаружил открытую базу данных 10 октября, однако, по его сведениям, она появилась в Сети еще 28 августа. При этом, по словам собеседника издания, владелец сервера не отреагировал на попытки с ним связаться. Только после того, как Дяченко сообщил о проблеме в БКИ, база данных была закрыта. Однако, по мнению эксперта, она пробыла в интернете в свободном доступе достаточно долго, так что высоки риски того, что ее кто-либо успел скачать.
Газета также пишет о том, что специалисты издания изучили информацию, которая потенциально могла оказаться в руках злоумышленников.
«Название базы данных отсылает к микрофинансовой компании "ГринМани", выдававшей онлайн-займы. IP-адрес сервера ведет на служебную страницу сайта компании, использовавшуюся для тестирования. База данных содержит 29 коллекций (директорий). В базе есть данные нескольких сторонних сервисов для оценки заемщиков микрофинансовых организаций, ЕСИА и сотовых операторов. Основной объем утекшей информации приходится на кредитные истории, хранящиеся в коллекции "Эквифакс", — свыше 1 млн записей (более 52,5 Гб). В частности, в них содержатся полные паспортные данные и другие документы заемщика, адрес регистрации и фактического места жительства, номера телефонов, а также информация о кредитах и скоринговом балле. Похожие данные содержатся и в коллекции ОКБ, но записей в ней намного меньше — около 130 тысяч (825 Мб). Сотовые операторы привлекались, судя по всему, лишь для проверки телефонного номера», — сообщает «Коммерсант».
При этом микрокредитная организация «ГринМани» была исключена из реестра МФО за многочисленные нарушения, связанные как с отношениями с заемщиками, так и с предоставлением недостоверной отчетности в Центробанк России.
«Одна из причин — осуществление взимания вознаграждения за услугу по предоставлению сведений в бюро кредитных историй, оказывая которую общество действовало исключительно в собственных интересах», — уточнил «Ъ».
При этом издание пишет, что сервер с базами данных был тестовым, но содержал он, скорее всего, копию реальной базы, рассказал «Ъ» технический директор и основатель DeviceLock Ашот Оганесян.
«Даже банки часто относятся к своим обязанностям халатно, и МФО от них не отстают. Пока ответственность за утечки не усилят, мы будем получать такие печальные новости», — отметил собеседник «Ъ».
На ту же причину — халатное отношение компаний к вопросам безопасности и человеческий фактор — указал, говоря об утечках информации о клиентах банков в эфире НСН глава ассоциации по компьютерной безопасности Роман Ромачев.
«Это проблема не только России, данные утекают во всем мире. На первом месте по утечкам находится Великобритания. Там еженедельно теряют персональные данные многих компаний. Они впереди планеты всей. У нас тоже участились такие случаи. В первую очередь это происходит из-за халатности, отсутствия должного внимания к вопросам информационной безопасности. Кроме того, большую роль играет человеческий фактор. Люди — одно из самых слабых звеньев в системе безопасности. Они копируют данные на флешки, потом теряют их, продают», — рассказал он.
Впрочем, сами представители кредитных организаций опровергают информацию о том, что данные об их клиентах могли попасть в Сеть.
«Мы проводим дополнительный анализ несанкционированных подключений для определения их характера. Помимо этого, для улучшения наших систем безопасности и мониторинга в дальнейшем мы проводим консультации с исследователем, который обнаружил проблему. В любом случае мы обеспечим прозрачную и открытую коммуникацию с нашими клиентами по этому вопросу», — сказал «Ъ» генеральный директор «Гринмани» Андрей Луцык.
РБК также сообщило со ссылкой на представителей бюро кредитных историй «Эквифакс», что данные не пострадали из-за утечки базы микрофинансовой организации.
«Произошла утечка данных одной из крупнейших работавших с "Эквифаксом" финансовых микроорганизаций. Возможно, там были какие-то данные от "Эквифакса". Но база данных "Эквифакса" никак не пострадала. Она не имеет отношения к этой утечке», — заявили в бюро.
