Данные 44 тысяч клиентов кредитного брокера «Альфа-кредит» оказались в открытом доступе Статьи редакции

Организация не имеет отношения к «Альфа-банку», а утечка не угрожает его клиентам, сообщили в банке.

Данные более чем 44 тысяч клиентов кредитного брокера «Альфа-кредит» оказались в открытом доступе, сообщает РБК со ссылкой на основателя и технического директора компании в сфере информационной безопасности DeviceLock Ашота Оганесяна. ООО «Альфа-кредит» не имеет отношения к «Альфа-банку», сообщил vc.ru представитель банка.

У «Альфа-кредит» и «Альфа-банка» нет партнёрских отношений, и утечка данных не угрожает клиентам «Альфа-банка», уточнили в банке.

«Альфа-кредит» является посредником между банками и заёмщиками. Компания занимается сбором заявок на кредит и помогает клиентам выбрать банк и получить заём.

Источник РБК, близкий к брокеру, подтвердил утечку в компании. Информация, оказавшаяся в открытом доступе, включает ФИО клиентов, суммы и вид кредитов, номера телефонов, адреса электронной почты, города и регионы проживания, передаёт РБК.

Данные о клиентах организации содержались в системе управления базами данных MongoDB с открытым кодом. Некоторые компании используют систему для внутренних задач, объясняет издание.

Поисковик проиндексировал данные 31 января 2020 года, а Оганесян обнаружил их 1 февраля и в тот же день сообщил брокеру, передаёт издание. Компания не ответила на запрос РБК, направленный 3 февраля. Через день база была закрыта.

«По умолчанию MongoDB не требует логин и пароль для получения доступа к ней, поэтому если эти степени защиты не будут настроены, то данные автоматические оказываются в интернете, а специализированные поисковики их индексируют и находят», — объяснил Оганесян.

Закрыть базу можно за несколько минут, но за четыре дня эти данные мог кто-нибудь скачать, говорит Оганесян. Он отметил, что на продажу данные клиентов «Альфа-кредита» пока не выставлялись.

0
35 комментариев
Написать комментарий...
Костя Тупицин

Куда слили, где вбивать свои данные чтобы проверить? :)

Ответить
Развернуть ветку
Alexander Matveev

Пришлите мне в личку номер карты и CVC. Проверю :)

Ответить
Развернуть ветку
Невероятный Блондин

Уже нигде, вы только что всё подтвердили. 
И каждый кто вас лайкнул тоже 😂

Ответить
Развернуть ветку
Александр Сергеевич

Я блин не понимаю, как база оказывается без логина и пароля в открытом доступе! Что за шланги работают, что на рабочем месте закачивают базу на сторонний сервис и без элементарного пароля - просто без пароля! Настолько высока халатность или притупляется чувство элементарной чистоплотности.

Ответить
Развернуть ветку
Alexander Matveev

MongoDB по-умолчанию ставится без пароля. Пока это будет так, можно каждый день за кофе пролистывать Shodan и выбирать, кого бы слить 🙂

Но вообще да, надо руки отрывать тем, кто такое пускает в прод.

Ответить
Развернуть ветку
Egor Glukhov

Скорее, так будет, пока нет штрафа в 4% от оборота, как в этих ваших европах. :)

Ответить
Развернуть ветку
Alexander Matveev

Не будет такого, ведь могут пострадать «свои».

Ответить
Развернуть ветку
Roman Taranenko

А законы здесь причем?

Ответить
Развернуть ветку
Alexander Matveev

Ладно, лучше не будем)

Ответить
Развернуть ветку
Mike Kosulin

а зачем открытый порт держать на внешнем IP?

Ответить
Развернуть ветку
Александр Сергеевич

Да они на сторонний хост загружают базу зачем-то и "забывают" пасс поставить.

Ответить
Развернуть ветку
Mike Kosulin

стандартный пасс не спас бы от брутфорса, а вот закрытый порт — вполне)
но да, дичь

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Evgeni Nabokov

По умолчанию байндится к localhost.

Ответить
Развернуть ветку
Nice Man

Помогают получить кредит. На автомате подают заявки, вот и вся помощь. Но время немножко экономят, это да.

Ответить
Развернуть ветку
Sergey Furtaev

Интересно, а с чем связана такая мягкотелость Альфа-Банка по отношению к неправомерному использованию их бренда?
Смотрите, сторонний брокер, никак не связанный с Альфа-Групп использует наименование, "схожее до степени смешения" с их ТЗ. Более того, есть даже продукт такой у Альфа-банка https://alfabank.ru/corporate/credit/alfa-credit/

И всё ОК, претензий нет никаких.

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Александр Сергеевич

Вопрос, тот ли админ закрыл доступ, или уже новый)) два дня работал hr)))

Ответить
Развернуть ветку
Константин

Такое будет повторяться пока не запретят сбор персональных данных. Все персональные данные должны быть только у государства.

Ответить
Развернуть ветку
Alex S

Такое будет повторяться, сбор персональных данных не запретят. Не все персональные данные у государства должны быть. 

Ответить
Развернуть ветку
Константин

100% проблему не решить. Но объем свободных данных можно уменьшить.

Ответить
Развернуть ветку
Василий Степанов

Просто нужна нормальная ответственность за слив персональных данных. В загнивающих западах за это дело штрафуют на бюджет Беларуси.

Ответить
Развернуть ветку
Константин

Вот если только ваши данные сольют. ФИО, адрес, кем работаете, телефон, куда и когда в отпуск. Какой штраф должен быть, и на кого выписывать?

Ответить
Развернуть ветку
borodutch
Ответить
Развернуть ветку
Станислав Антохи

Я вообще не считаю, что паспортные данные, номер телефона, адрес - это личные данные. Эти данные спрашивают на каждом шагу, следовательно, они публичные и люди сами раздают их неограниченному кругу лиц. 

Гостевой пропуск в офис? - паспорт
Аренда гостиницы? - паспорт, телефон
Тренажерка? - паспорт, телефон 
Доставка? - телефон, и часто домашний адрес. 

Это публичные данные.

Ответить
Развернуть ветку
Антон Лисин

Ахаааа задротян бaнк. Все  стабильно.

Ответить
Развернуть ветку
Pavel Voronkov

Олег танцует 🕺

Ответить
Развернуть ветку
Антон Лисин

Олег, выходи!

Ответить
Развернуть ветку
Роман

В базе которой у меня есть( не уверен та она или нет)  - ФИО,  мобильный телефон, e-mail, место работы, должность, ИНН и рабочий телефон. База до сих пор доступна. Есть ли тут из @alfabank  - напишите, куда алертнуть?

Ответить
Развернуть ветку
Роман
Ответить
Развернуть ветку
Невероятный Блондин

Ты одаренный чтоли скриншот не замазанный выкладывать?
и читай новость, это не тот альфа

Ответить
Развернуть ветку
Иван Ташкинов

Это как с Альфа-Форексом, который пароли в открытом виде хранит (и присылает их на почту). Тоже, если что, "не будет иметь отношения к Альфа-Банку". 🤦‍♂️

Ответить
Развернуть ветку
Mike Kosulin

Они могут не хранить его в открытом виде, а просто передавать на этапе генерации до записи в БД.
Только для фин.сервисов это недопустимо)

Ответить
Развернуть ветку
Сергей Камянецкий

Заеб@ли. Какие-то ушлепки работают. Тут утекло, там утекло... и всем как властям, так и правоохранительным, да впрочем и тем кто виноват - плевать. Где же я живу мазафака...

Ответить
Развернуть ветку
John Popel

Can anyone share the link?

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку
32 комментария
Раскрывать всегда