Проект, Security Discovery, занимающийся мониторингом утечек данных, обнаружил в открытом доступе кредитные истории более миллиона жителей России. Об этом его руководитель Боб Дяченко рассказал в твиттере.
Данные утекли из бюро кредитных историй (БКИ) «Эквифакс», а база отсылает к сведениям от микрофинансовой организации (МФО) «ГринМани», которая выдавала россиянам онлайн-займы. В базе также есть незначительный объём данных от других организаций.
Эта утечка раскрывает паспортные данные заёмщиков, адреса их регистрации и фактическое место жительства, номера домашних и мобильные телефонов, а также сведения по полученных кредитах, выплатах по ним и скоринге (оценке кредитоспособности).
По словам Боба Дяченко, база с личными данными российский заёмщиков была проиндексирована специализированными поисковиками ещё в конце августа. Она находилась в открытом доступе более полутора месяцев, поэтому есть большая вероятность, что кто-нибудь её скачал.
Директор «ГринМани» Андрей Луцык рассказал, что компания проводит проверку инцидента, а до её окончания преждевременно говорить о том, кто послужил источником утечки. Компания «Эквифакс» утверждает, что не допускала утечку.
Сведения из таких баз интересны в том числе телефонным мошенникам. Они могут звонить жертве, представляться сотрудниками банков или сотового оператора и с помощью социальной инженерии на основе имеющихся данных втираться в доверие и выманивать конфиденциальные данные: например, номер банковской карты, срок её действия, секретный код и код из SMS для входа в банковский кабинет или подтверждения денежного перевода.
Это далеко не первый случай крупной утечки личных данных россиян за последнее время. Так, некий злоумышленник выставил на продажу сведения о 60 миллионах карт клиентов «Сбербанка». Банк вычислил преступника и помог полиции задержать его, после чего заявил, что масштаб утечки был преувеличен, и скомпрометированными оказались лишь 5 тысяч карт.
Намного более масштабную утечку допустил оператор сотовой связи «Билайн». На файлообменниках была выложена база со сведениями о 8,7 миллионах его клиентов. В ней содержались их ФИО, телефоны, паспортные данные, адреса проживания, а также указаны связи с другими проживающими по тем же адресам. «Билайн» поначалу отрицал факт утечки и заявлял, что распространение сведений о ней — происки недоброжелателей. Позже оператор заявил, что база содержит устаревшие данные за 2017 год.
Известно, что мошенники смогли воспользоваться утечкой от «Билайн»: были похищены деньги примерно у десять клиентов банка «Точка», у которых пароль от банковского кабинета совпадал с паролем от личного кабинета «Билайн». Злоумышленники настроили в банковском кабинете переадресацию голосовых вызовов от банка на свои номера и подтвердили перевод крупных сумм. «Точке» пришлось из своих средств выплачивать пострадавшим возмещение ущерба.
