Данные 44 тысяч клиентов кредитного брокера «Альфа-кредит» оказались в открытом доступе Материал редакции

Организация не имеет отношения к «Альфа-банку», а утечка не угрожает его клиентам, сообщили в банке.

В закладки

Данные более чем 44 тысяч клиентов кредитного брокера «Альфа-кредит» оказались в открытом доступе, сообщает РБК со ссылкой на основателя и технического директора компании в сфере информационной безопасности DeviceLock Ашота Оганесяна. ООО «Альфа-кредит» не имеет отношения к «Альфа-банку», сообщил vc.ru представитель банка.

У «Альфа-кредит» и «Альфа-банка» нет партнёрских отношений, и утечка данных не угрожает клиентам «Альфа-банка», уточнили в банке.

«Альфа-кредит» является посредником между банками и заёмщиками. Компания занимается сбором заявок на кредит и помогает клиентам выбрать банк и получить заём.

Источник РБК, близкий к брокеру, подтвердил утечку в компании. Информация, оказавшаяся в открытом доступе, включает ФИО клиентов, суммы и вид кредитов, номера телефонов, адреса электронной почты, города и регионы проживания, передаёт РБК.

Данные о клиентах организации содержались в системе управления базами данных MongoDB с открытым кодом. Некоторые компании используют систему для внутренних задач, объясняет издание.

Поисковик проиндексировал данные 31 января 2020 года, а Оганесян обнаружил их 1 февраля и в тот же день сообщил брокеру, передаёт издание. Компания не ответила на запрос РБК, направленный 3 февраля. Через день база была закрыта.

«По умолчанию MongoDB не требует логин и пароль для получения доступа к ней, поэтому если эти степени защиты не будут настроены, то данные автоматические оказываются в интернете, а специализированные поисковики их индексируют и находят», — объяснил Оганесян.

Закрыть базу можно за несколько минут, но за четыре дня эти данные мог кто-нибудь скачать, говорит Оганесян. Он отметил, что на продажу данные клиентов «Альфа-кредита» пока не выставлялись.

{ "author_name": "Лиана Липанова", "author_type": "editor", "tags": ["\u0443\u0442\u0435\u0447\u043a\u0438\u0434\u0430\u043d\u043d\u044b\u0445","\u043d\u043e\u0432\u043e\u0441\u0442\u044c","\u043d\u043e\u0432\u043e\u0441\u0442\u0438"], "comments": 35, "likes": 13, "favorites": 13, "is_advertisement": false, "subsite_label": "finance", "id": 106366, "is_wide": false, "is_ugc": false, "date": "Tue, 11 Feb 2020 12:40:14 +0300", "is_special": false }
0
35 комментариев
Популярные
По порядку
Написать комментарий...
15

Куда слили, где вбивать свои данные чтобы проверить? :)

Ответить
10

Пришлите мне в личку номер карты и CVC. Проверю :)

Ответить
2

Уже нигде, вы только что всё подтвердили. 
И каждый кто вас лайкнул тоже 😂

Ответить
9

Я блин не понимаю, как база оказывается без логина и пароля в открытом доступе! Что за шланги работают, что на рабочем месте закачивают базу на сторонний сервис и без элементарного пароля - просто без пароля! Настолько высока халатность или притупляется чувство элементарной чистоплотности.

Ответить
9

MongoDB по-умолчанию ставится без пароля. Пока это будет так, можно каждый день за кофе пролистывать Shodan и выбирать, кого бы слить 🙂

Но вообще да, надо руки отрывать тем, кто такое пускает в прод.

Ответить
3

Скорее, так будет, пока нет штрафа в 4% от оборота, как в этих ваших европах. :)

Ответить
3

Не будет такого, ведь могут пострадать «свои».

Ответить
0

А законы здесь причем?

Ответить
2

Ладно, лучше не будем)

Ответить
1

а зачем открытый порт держать на внешнем IP?

Ответить
0

Да они на сторонний хост загружают базу зачем-то и "забывают" пасс поставить.

Ответить
0

стандартный пасс не спас бы от брутфорса, а вот закрытый порт — вполне)
но да, дичь

Ответить
0

Не просто без пароля, она еще по умолчанию и наружу смотрит. Но вроде в новых версиях не так, закрыли эту дыру (или я с эластиком путаю)

Ответить
0

По умолчанию байндится к localhost.

Ответить
5

Помогают получить кредит. На автомате подают заявки, вот и вся помощь. Но время немножко экономят, это да.

Ответить
5

Интересно, а с чем связана такая мягкотелость Альфа-Банка по отношению к неправомерному использованию их бренда?
Смотрите, сторонний брокер, никак не связанный с Альфа-Групп использует наименование, "схожее до степени смешения" с их ТЗ. Более того, есть даже продукт такой у Альфа-банка https://alfabank.ru/corporate/credit/alfa-credit/

И всё ОК, претензий нет никаких.

Ответить
3

 Через день база была закрыта

Фантастическая скорость реагирования. На такой инцидент скорость реакции должна быть мгновенной.

Ответить
0

Вопрос, тот ли админ закрыл доступ, или уже новый)) два дня работал hr)))

Ответить
–1

Такое будет повторяться пока не запретят сбор персональных данных. Все персональные данные должны быть только у государства.

Ответить
3

Такое будет повторяться, сбор персональных данных не запретят. Не все персональные данные у государства должны быть. 

Ответить
0

100% проблему не решить. Но объем свободных данных можно уменьшить.

Ответить
2

Просто нужна нормальная ответственность за слив персональных данных. В загнивающих западах за это дело штрафуют на бюджет Беларуси.

Ответить
0

Вот если только ваши данные сольют. ФИО, адрес, кем работаете, телефон, куда и когда в отпуск. Какой штраф должен быть, и на кого выписывать?

Ответить
–1

Я вообще не считаю, что паспортные данные, номер телефона, адрес - это личные данные. Эти данные спрашивают на каждом шагу, следовательно, они публичные и люди сами раздают их неограниченному кругу лиц. 

Гостевой пропуск в офис? - паспорт
Аренда гостиницы? - паспорт, телефон
Тренажерка? - паспорт, телефон 
Доставка? - телефон, и часто домашний адрес. 

Это публичные данные.

Ответить
0

Ахаааа задротян бaнк. Все  стабильно.

Ответить
0

Олег танцует 🕺

Ответить
0

Олег, выходи!

Ответить
0

В базе которой у меня есть( не уверен та она или нет)  - ФИО,  мобильный телефон, e-mail, место работы, должность, ИНН и рабочий телефон. База до сих пор доступна. Есть ли тут из @alfabank  - напишите, куда алертнуть?

Ответить
0

Ты одаренный чтоли скриншот не замазанный выкладывать?
и читай новость, это не тот альфа

Ответить
0

Это как с Альфа-Форексом, который пароли в открытом виде хранит (и присылает их на почту). Тоже, если что, "не будет иметь отношения к Альфа-Банку". 🤦‍♂️

Ответить
0

Они могут не хранить его в открытом виде, а просто передавать на этапе генерации до записи в БД.
Только для фин.сервисов это недопустимо)

Ответить
0

Заеб@ли. Какие-то ушлепки работают. Тут утекло, там утекло... и всем как властям, так и правоохранительным, да впрочем и тем кто виноват - плевать. Где же я живу мазафака...

Ответить
0

Can anyone share the link?

Ответить

Комментарий удален

Прямой эфир