Эксперт: база клиентов крупного сервиса онлайн-кредитов "ушла" к хакерам

База клиентов небанковского сервиса кредитования Moneyveo.UA по состоянию на 2017 год обнаружена в сети Интернет на одном из "специализированных" форумов.

Базу данных компании, актуальную на 2017 год и содержащую 256 625 записей о клиентах, включая их фамилии, дату рождения, телефон, e-mail, и паспортные данные, обнаружил в сети специалист по кибербезопасности Андрей Перевезий, передает InternetUA.

– Не думал, что меня можно чем-то шокировать. Moneyveo.UA, база Ваших клиентов тихонько гуляет по всемирной сети. База компании Moneyveo.UA по состоянию на 2017 год: 256 625 записей – ФИО, дата рождения, телефон, e-mail, серия и номер паспорта, когда выдан, кем выдан. И эта вся прелесть в почти открытом доступе, – написал эксперт.

Как оказалось, в компании знают об утечке данных и по этому факту возбуждено уголовное дело.

– Источник данных установлен уже давно и нам известен, но, ссылаясь на тайну следствия, мы не могли делать никаких заявлений, – прокомментировал информацию Chief Information Officer (CIO) компании Moneyveo.UA Григорий Лисничий. – Установлены подозреваемые, которые уже задержаны. По всем упомянутым эпизодам ведется уголовное производство.

В подтверждение своих слов руководитель отдела ИБ компании продемонстрировал копию выписки из реестра досудебных расследований.

Компания по предоставлению небанковских кредитов, как следует из выписки из реестра досудебных расследований, 14 декабря прошлого года обратилась в полицию с заявлением о том, что неустановленное лицо 23 ноября 2018 совершило несанкционированный сбыт информации (базы данных клиентов) ООО «Манивео быстрая финансовая помощь».

В комментарии журналисту нашего издания Григорий Лисничий отметил, что сервис предпринял все необходимые меры по защите своих клиентов.

Согласно материалам дела, виновником утечки базы оказался сотрудник компании, который решил продать её конкурентам в Мексику. 28 сентября 2016 года в неустановленное следствием время сотрудник ООО «Манивео быстрая финансовая помощь» несанкционированно скопировал на мобильный телефон с электронно-вычислительной машины своих работодателей базу данных под названием «МоneyVeoMX». Уже дома злоумышленник скопировал указанную информацию на свой ноутбук, дав ей название «DB Mexico».

Сотрудник компании в Интернете обнаружил проект предприятия «МениМенМХ» по предоставлению денежных средств в Мексике, которому и предложил украденную ранее базу данных, договорившись о встрече. 6 февраля 2018, в неустановленное следствием время, подозреваемый встретился в Киеве в кафе с представителями упомянутой выше компании и продемонстрировал на своем ноутбуке базу данных. В этот же день и в этом же кафе сотрудника сервиса микрокредитования задержали правоохранители.

В пресс-службе Moneyveo.UA нам подтвердили, что обнаруженная экспертом информация о базе клиентов является копией тех данных, которые бывший сотрудник компании размещал на киберфорумах для рекламы предлагаемой «услуги»:

– В 2018 году службе информационной безопасности Moneyveo стало известно о попытке внутренней утечки информации, о которой компания сразу сообщила в правоохранительные органы. А именно – Moneyveo немедленно обратилась в киберполицию с соответствующим заявлением о преступлении по ст. 362 УК Украины (несанкционированные действия с информацией, которая обрабатывается в электронно-вычислительных машинах (компьютерах), автоматизированных системах, компьютерных сетях или хранится на носителях такой информации, совершенные лицом, имеющим право доступа к ней), – сообщили в пресс-службе компании. – В рамках следствия сотрудники киберполиции изъяли все носители незаконно скопированной информации и сделали невозможным ее дальнейшее распространение.

В пресс-службе говорят, что ранее компания не делала никаких публичных заявлений в связи с тайной следствия, однако сейчас все подозреваемые задержаны и угрозы прямого распространения базы данных нет.

В Moneyveo подчеркнули, что постоянно совершенствуют все уровни защиты информации, которую пользователи предоставляют компании, а на предприятии установлена ​​многоуровневая система доступа сотрудников к данным.

– С осени 2018 все новые сотрудники перед приемом на работу проходят проверку внутренней службы безопасности. А работники, имеющие доступ к данным пользователей, дополнительно тестируются на специальном устройстве – полиграфе, – рассказали в компании. – При разработке нашей системы скоринга и идентификации пользователей были учтены все требования законодательства Украины. Мы постоянно совершенствуем score-систему, предотвращая попытки мошенников получать кредиты в сервисе на чужие данные.

Также в компании уверяют, что регулярно проверяют систему доступа к данным сервиса и не допускают появления в ней уязвимостей.

– Сервис Moneyveo соответствует требованиям международного сертификата о защите карточных и персональных данных PCI DSS (Уровень 2). А в 2019 году мы планируем пройти сертификацию на уровень 1. Для резервных копий информации в сервисе используется система шифрования данных, – объясняют в пресс-службе. – Без согласия клиента мы не передаем его данные третьим лицам. Условия нашего кредитного договора содержат пункт о согласии на передачу данных бюро кредитных историй, факторинговым компаниям, правоохранительным органам.

Кроме того, для усиления контроля в августе 2018 Moneyveo внедрила Mobile Score – проверку надежности пользователей через обезличенные данные от провайдеров мобильной связи Kyivstar и Vodafone. А в октябре сервис заблокировал 99,99% выдачу кредитов на банковские карточки, по которым невозможно определить владельцев. Также на сайте компании есть ликбез о защите данных пользователей.