База с тысячами должников украинских банков оказалась в открытом доступе

Известный украинский эксперт по кибербезопасности, ведущий разработчик компании ИТ-Лаборатория Александр Галущенко обнаружил в открытом доступе базу данных некой «коллекторской» фирмы с данными тысяч граждан Украины.

Об этом сообщил в рамках флешмоба #fuckresponsibledisclosure, направленного на публичные оповещения о нарушениях безопасности, передает InternetUA.

На сервере, находящемся  в открытом доступе в сети – статистика звонков коллекторов, метаданные и номера телефонов должников. Судя по всему, «расшаренными» в сеть оказались данные телефонии одной из коллекторских фирм, работающих с рядом крупных банков.

– Банки. Кредиты. Коллекторы. Звонки. Статистика. Компания на аутсорсе. Расшаренные папки. Свободный доступ. Метаданные в таблицах. Прямые ссылки на базы данных, зашитые в скриптах. Грустно. Судя по архиву, деятельность эта компания ведет много лет, – прокомментировал Александр Галущенко.

Также, как стало известно, сервер коллекторской компании может быть заражен и, соответственно, чувствительные данные могли «утечь» к злоумышленникам.

Судя по опубликованным скриншотам, в базе данных – сведения об украинцах, являющихся должниками таких банков как ПУМБ, Монобанк, Альфа Банк,ИдеяБанк и многих других.

В Монобанке уже подтвердили, что утечка произошла в компании, которая является его партнером:

– К счастью номеров телефона клиентов моно [в открытом доступе – Ред.] нет, только отчеты по звонкам. Но крайне неприятно от партнеров такие сюрпризы получать, – сообщил специалист по безопасности и рискам monobank Дмитрий Ковалевский. – Это хоть и не фатальный удар по репутации, но неприятный инцидент, в результате которого сейчас запущено разбирательство. Мы очень много инвестируем в то, чтобы утечек не было, и всегда крайне негативно относимся к передаче любых данных о клиентах сторонним (в том числе по трехсторонним договорам) организациям, даже операторам связи, которые и так знают кто чей клиент.

Как рассказал нашему изданию Александр Галущенко, банки очень активно решали проблему – в течение 10 минут после публикации на связь с экспертом вышли представители целого ряда банков, упомянутых в записи.

На данный момент сервер коллекторской компании уже отключен. По имеющимся у нас сведениям, юристы некоторых банков уже готовят иски к этой компании за несоблюдение правил обработки и хранения данных.