В открытом доступе нашлось больше 1 млн кредитных историй россиян из бюро кредитных историй «Эквифакс» плюс данные мобильных операторов. Сервер онлайн-кредитора обнаружил независимый ИБ-исследователь, руководитель проекта Security Discovery Боб Дяченко.
Открытая СУБД MongoDB выявилась 10 октября, но ещё 28 августа она была проиндексирована специализированными поисковиками вроде Shodan или BinaryEdge. Владелец сервера не выходил на связь и Дяченко сообщил о проблеме в БКИ. После этого база данных была закрыта, однако поисковики проиндексировали её давно, а значит, высоки шансы, что её кто-то успел скачать.
Название базы данных отсылает к микрофинансовой компании «ГринМани», выдававшей онлайн-займы. IP-адрес сервера ведет на служебную страницу сайта компании, использовавшуюся для тестирования. База данных содержит 29 директорий, в ней есть данные нескольких сторонних сервисов для оценки заемщиков микрофинансовых организаций, ЕСИА и сотовых операторов.
Основной объём слитой информации (более 1 млн, 52,5 Гб) – это кредитные истории, хранящиеся в коллекции «Эквифакс». В них содержатся полные паспортные данные и другие документы заёмщика, адрес регистрации и фактического места жительства, номера телефонов, а также информация о кредитах и скоринговом балле. Похожие данные содержатся и в коллекции ОКБ (около 130 тысяч, 825 Мб), а сотовые операторы привлекались, очевидно, только для проверки телефонного номера.
Сервер, на котором лежала MongoDB, был тестовым, но, верноятно, содержал копию реальной базы, предназначенную для разработчиков, считает основатель DeviceLock Ашот Оганесян. Уже бывали аналогичные случаи с другими МФО.
-1.png)
.jpg)
.png)