Спецпроекты

В интернет слили данные о миллионах россиян-заемщиков. Кто пострадал, и кто виноват

3987
Безопасность Пользователю Бизнес ИТ в банках

В течение нескольких месяцев в свободном доступе находились данные о кредитных историях россиян. Утекшая в интернет база данных предположительно принадлежала микрофинансовой организации «ГринМани» и содержала сведения, предоставленные бюро кредитных историй «Эквифакс» и «Объединенным кредитным бюро». Также утечке подверглись сведения об абонентах операторов «Мегафон» и МТС, что стало дополнением к недавнему глобальному распространению личной информации о клиентах «Билайна».

Крупная утечка в России

В свободном доступе оказалась база данных с кредитными историями более 1 млн жителей России. Содержащаяся в ней информация принадлежала, в большей степени, бюро кредитных историй «Эквифакс».

Утечку обнаружил руководитель проекта Security Discovery Боб Дяченко (Bob Diachenko), независимый исследователь по вопросам кибербезопасности. В своем Twitter он сообщил, что база данных оказалась доступна для всех пользователей интернета по причине ошибочной конфигурации одного из серверов, предположительно принадлежащем микрофинансовой организации.

Что содержится в базе данных

В составе утекшей базы данных находится подробная информация о кредитных историях свыше 1 млн россиян, включая также их детальные паспортные данные, адреса регистрации и проживания, номера сотовых телефонов и информацию о скоринговом балле. Точное число людей, чьи личные данные стали доступны всем и каждому, неизвестно.

По данным «Коммерсанта», в БД также содержатся сведения ряда сторонних сервисов, осуществляющих оценку заемщиков микрофинансовых организаций, ЕСИА и сотовых операторов. Издание не уточняет, о каких именно операторах идет речь, однако Боб Дяченко сообщил, что в базе есть информация об абонентах МТС и «Мегафона».

gr601.jpg
Твит Боба Дяченко об утечке информации российских заемщиков

Всю базу можно условно поделить на две части – в первой объемом порядка 53 ГБ содержатся сведения из «Эквифакса», а во второй находится информация из «Объединенного кредитного бюро» (ОКБ). Ее объем составил 825 МБ, а количество записей – 130 тыс.

Кому принадлежит БД

Название утекшей базы данных указывает, что она могла принадлежать микрофинансовой организации «ГринМани», выдававшей займы через интернет. Компания, согласно статистике рейтингового агентства «Эксперт РА», находилась на 13 месте по объему портфеля микрозаймов по итогам первой половины 2019 г., однако 12 сентября 2019 г. по решению ЦБ она была исключена из реестра МФО. Санкции были применены на фоне ряда критических нарушений, в том числе в связи с предоставлением заведомо ложной отчетности о своей деятельности регулирующим органам.

Владельцем базы данных может оказаться МФО «ГринМани»

Принадлежащий серверу IP-адрес приводит на служебную тестовую страницу сайта «ГринМани», а сама БД состоит из 29 директорий.

Когда произошла утечка

По словам Боба Дяченко, утечку БД он обнаружил 10 октября 2019 г. и предпринял несколько попыток связаться с ее владельцами («ГринМани»), однако те на контакт так и не вышли. Исследователь отметил, что база данных была проиндексирована специализированными поисковыми системами еще в конце августа 2019 г., полтора месяца назад, что говорит о ее нахождении в открытом доступе в течение длительного времени. В связи с этим личная информация россиян могла оказаться в руках многих злоумышленников.

После того, как владелец БД не вышел на связь, Боб Дяченко сообщил об утечке в «Эквифакс». На момент публикации материала доступ к базе данных был закрыт.

Реакция «ГринМани» и «Эквифакса»

Все три компании, так или иначе связанные с базой данных, прокомментировали информацию о ее утечке. Глава «ГринМани» Андрей Луцык отметил, что в настоящее время в его компании ведется проверка для выяснения всех подробностей случившегося Он также сказал, что до окончания проверки выводы об утечке преждевременны. «Компания соблюдает все требования по хранению и обработке персональных данных, предусмотренные законодательством», – добавил Андрей Луцык.

Представители «Эквифакса» отрицают факт утечки базы данных. Также они не сообщили, собирается ли компания проводить какие-либл мероприятия по выяснению всех обстоятельств сложившейся ситуации. Сотрудники ОКБ заметили, что «ГринМани» действительно была клиентом Бюро в период с 2015 г. по сентябрь 2019 г. но подчеркнули, что все запросы о личной информации заемщика она делала только при наличии его действующего согласия и только в соответствии с актуальным российским законодательством.

Мнение эксперта

Основатель компании DeviceLock, специализирующейся на вопросах информационно безопасности, Ашот Оганесян прокомментировал случившееся. По его словам, несмотря на то, что IP-адрес сервера вел на тестовую страницу «ГринМани», очень велика вероятность, что оказавшаяся в свободном доступе БД содержала реальные сведения о существующих заемщиках.

Ашот Оганесян подчеркнул, что случай с «ГринМани» не стал прецедентом – эксперт утверждает, что подобное раньше случалось и с другими МФО.

Одна утечка за другой

Случай с «ГринМани» стал как минимум третьим за первую половину октября 2019 г. 3 октября 2019 г. Ашот Оганесян обнаружил в интернете объявление о продаже базы данных с информацией о 60 млн клиентов Сбербанка. Подлинность содержащейся в ней информации была подтверждена, и это стало крупнейшей утечкой в истории российского банковского сектора.

Спустя всего четыре дня, 7 октября 2019 г., в свободном доступе оказалась БД с адресами, телефонами и ФИО абонентов проводного интернета «Билайна». Были скомпрометированы личные данные 2 млн россиян, и сотрудники редакции CNews подтвердили подлинность некоторых из них.



Взгляд месяца

Самая непростая ситуация — с импортозамещением СУБД

Денис Терещенко

заместитель руководителя ФТС

Стратегия месяца

Зачем государство ввязалось в гонку технологических вооружений

Михаил Замыцкий

директор по развитию «Ситилинк»