Данные 44 тысяч клиентов кредитного брокера «Альфа-кредит» оказались в открытом доступе

Организация не имеет отношения к «Альфа-банку», а утечка не угрожает его клиентам, сообщили в банке.

Данные более чем 44 тысяч клиентов кредитного брокера «Альфа-кредит» оказались в открытом доступе, сообщает РБК со ссылкой на основателя и технического директора компании в сфере информационной безопасности DeviceLock Ашота Оганесяна. ООО «Альфа-кредит» не имеет отношения к «Альфа-банку», сообщил vc.ru представитель банка.

У «Альфа-кредит» и «Альфа-банка» нет партнёрских отношений, и утечка данных не угрожает клиентам «Альфа-банка», уточнили в банке.

«Альфа-кредит» является посредником между банками и заёмщиками. Компания занимается сбором заявок на кредит и помогает клиентам выбрать банк и получить заём.

Источник РБК, близкий к брокеру, подтвердил утечку в компании. Информация, оказавшаяся в открытом доступе, включает ФИО клиентов, суммы и вид кредитов, номера телефонов, адреса электронной почты, города и регионы проживания, передаёт РБК.

Данные о клиентах организации содержались в системе управления базами данных MongoDB с открытым кодом. Некоторые компании используют систему для внутренних задач, объясняет издание.

Поисковик проиндексировал данные 31 января 2020 года, а Оганесян обнаружил их 1 февраля и в тот же день сообщил брокеру, передаёт издание. Компания не ответила на запрос РБК, направленный 3 февраля. Через день база была закрыта.

«По умолчанию MongoDB не требует логин и пароль для получения доступа к ней, поэтому если эти степени защиты не будут настроены, то данные автоматические оказываются в интернете, а специализированные поисковики их индексируют и находят», — объяснил Оганесян.

Закрыть базу можно за несколько минут, но за четыре дня эти данные мог кто-нибудь скачать, говорит Оганесян. Он отметил, что на продажу данные клиентов «Альфа-кредита» пока не выставлялись.

1313
35 комментариев

Куда слили, где вбивать свои данные чтобы проверить? :)

15

Пришлите мне в личку номер карты и CVC. Проверю :)

10

Уже нигде, вы только что всё подтвердили. 
И каждый кто вас лайкнул тоже 😂

2

Я блин не понимаю, как база оказывается без логина и пароля в открытом доступе! Что за шланги работают, что на рабочем месте закачивают базу на сторонний сервис и без элементарного пароля - просто без пароля! Настолько высока халатность или притупляется чувство элементарной чистоплотности.

9

MongoDB по-умолчанию ставится без пароля. Пока это будет так, можно каждый день за кофе пролистывать Shodan и выбирать, кого бы слить 🙂

Но вообще да, надо руки отрывать тем, кто такое пускает в прод.

9

Помогают получить кредит. На автомате подают заявки, вот и вся помощь. Но время немножко экономят, это да.

5

Интересно, а с чем связана такая мягкотелость Альфа-Банка по отношению к неправомерному использованию их бренда?
Смотрите, сторонний брокер, никак не связанный с Альфа-Групп использует наименование, "схожее до степени смешения" с их ТЗ. Более того, есть даже продукт такой у Альфа-банка https://alfabank.ru/corporate/credit/alfa-credit/

И всё ОК, претензий нет никаких.

5