В Интернет попали данные клиентов кредитного брокера «Альфа-Кредит», который собирает заявки на
и помогает выбрать и получить заем в банке, пишет
. Данные содержались в системе управления базами данных MongoDB с открытым кодом. Поисковик проиндексировал базу 31 января, рассказал основатель и технический директор компании DeviceLock Ашот Оганесян, обнаруживший эти данные 1 февраля. В этот же день DeviceLock уведомила брокера о происшествии.
База содержала около 44 тыс. записей с Ф. И. О. клиента, суммой запрашиваемого кредита и его видом, номером телефона, адресом электронной почты, городом и регионом проживания. Запрос издания в «Альфа-Кредит» 3 февраля остался без ответа, но на следующий день база была закрыта, следует из информации в поисковике. Так, данные клиентов были в свободном доступе в течение четырех дней.
На сайте «Альфа-Кредита» указано, что он помогает получить любые виды кредитования для физических и юридических лиц, а также другие финансовые услуги. Компания на сайте указывает, что не связана с Альфа-Банком, хотя имеет похожие название и фирменный цвет.
Базы данных MongoDB попадают в открытый доступ из-за халатности системных администраторов, а также обслуживающего и настраивающего их технического персонала, полагает Ашот Оганесян. По умолчанию MongoDB не требует логин и пароль для получения доступа к ней, поэтому, если эти степени защиты не будут настроены, то данные автоматически оказываются в сети, а специализированные поисковики их индексируют и находят, пояснил эксперт.
Опубликованная информация может использоваться участниками финансового рынка, например банками, которые могут обзванивать ее фигурантов для привлечения клиентов, добавляет руководитель направлений «Комплаенс» и «Аудит» департамента информационной безопасности Softline Илья Тихонов.
База содержала около 44 тыс. записей с Ф. И. О. клиента, суммой запрашиваемого кредита и его видом, номером телефона, адресом электронной почты, городом и регионом проживания. Запрос издания в «Альфа-Кредит» 3 февраля остался без ответа, но на следующий день база была закрыта, следует из информации в поисковике. Так, данные клиентов были в свободном доступе в течение четырех дней.
На сайте «Альфа-Кредита» указано, что он помогает получить любые виды кредитования для физических и юридических лиц, а также другие финансовые услуги. Компания на сайте указывает, что не связана с Альфа-Банком, хотя имеет похожие название и фирменный цвет.
Базы данных MongoDB попадают в открытый доступ из-за халатности системных администраторов, а также обслуживающего и настраивающего их технического персонала, полагает Ашот Оганесян. По умолчанию MongoDB не требует логин и пароль для получения доступа к ней, поэтому, если эти степени защиты не будут настроены, то данные автоматически оказываются в сети, а специализированные поисковики их индексируют и находят, пояснил эксперт.
Опубликованная информация может использоваться участниками финансового рынка, например банками, которые могут обзванивать ее фигурантов для привлечения клиентов, добавляет руководитель направлений «Комплаенс» и «Аудит» департамента информационной безопасности Softline Илья Тихонов.
