База з тисячами боржників українських банків виявилася у відкритому доступі

Новини

Відомий український експерт з кібербезпеки, провідний розробник компанії ІТ-Лабораторія Олександр Галущенко виявив у відкритому доступі базу даних якоїсь «колекторської фірми з даними тисяч громадян України.

Про це повідомив у рамках флешмобу #fuckresponsibledisclosure, спрямованого на публічні сповіщення про порушення безпеки, передає InternetUA.

На сервері, що знаходиться у відкритому доступі в мережі – статистика дзвінків колекторів, метадані та номери телефонів боржників. Судячи з усього, «розшареними» в мережу виявилися дані телефонії однієї з колекторських фірм, що працюють з низкою великих банків.

– Банки. Кредити. Колектори. Дзвінки. Статистика. Компанія на аутсорсе. Расшаренные папки. Вільний доступ. Метадані в таблицях. Прямі посилання на бази даних, зашиті в скриптах. Сумно. Судячи з архіву, діяльність ця компанія веде багато років, – прокоментував Олександр Галущенко.

Також, як стало відомо, сервер колекторської компанії може бути заражений і, відповідно, чутливі дані могли «витекти» зловмисників.

Судячи з опублікованих скріншотам, в базі даних – відомості про українців, які є боржниками таких банків як ПУМБ, Монобанк, Альфа Банк,ИдеяБанк і багатьох інших.

У Монобанке вже підтвердили, що витік стався в компанії, яка є його партнером:

– На щастя номерів телефону клієнтів моно [у відкритому доступі – Ред.] ні, тільки звіти по дзвінках. Але вкрай неприємно від партнерів такі сюрпризи отримувати, – повідомив фахівець з безпеки та ризиків monobank Дмитро Ковалевський. – Це хоч і не фатальний удар по репутації, але неприємний інцидент, в результаті якого зараз запущено розгляд. Ми дуже багато інвестуємо в те, щоб витоків не було, і завжди вкрай негативно ставимося до передачі будь-яких даних про клієнтів стороннім (у тому числі за тристоронніми договорами) організаціям, навіть операторам зв’язку, які і так знають хто чий клієнт.

Як розповів нашому виданню Олександр Галущенко, банки дуже активно вирішували проблему – протягом 10 хвилин після публікації на зв’язок з експертом вийшли представники цілого ряду банків, згаданих у запису.

На даний момент сервер колекторської компанії вже вимкнено. За наявними у нас даними, юристи деяких банків вже готують позови до цієї компанії за недотримання правил обробки і зберігання даних.

 

Володимир Кондрашов

Події та кримінал