В открытом доступе была обнаружена база данных MongoDB с персональными данными заемщиков из Южного, Уральского и Приволжского федеральных округов. 🔥🔥🔥 По косвенным признакам был идентифицирован возможный владелец базы - Компания Финсервис (finservice.pro). На сайте компании написано, что Финсервис является ведущим независимым финансовым брокером в сфере POS-кредитования на рынке России, а также является разработчиком платформы Poslogic. POS-кредитование — это разновидность банковского бизнеса, предусматривающая выдачу кредитов на товары непосредственно в торговых точках. IP-адрес с открытой базой обнаружил исследователь безопасности Bob Diachenko (securitydiscovery.com) и попросил нас помочь с устранением потенциальной утечки. Судя по данным поисковика BinaryEdge впервые открытая база данных MongoDB на этом IP-адресе была зафиксирована 10 марта 2019 года и оставалась свободно доступной вплоть до 21 марта 2019 (примерно 17:00 МСК). На наши сообщения по электронной почте, через Facebook Messenger, через публичный пост в Facebook компания не реагировала несколько дней. Однако, сегодня около 5 вечера по Москве база данных исчезла из свободного доступа. 🙈 В обнаруженной базе данных содержалось: ✅ Более 294 тыс. заемщиков: ФИО, место рождения, дата рождения, количество детей, количество иждивенцев, девичья фамилия матери, состоит в браке или нет, образование, номер мобильного телефона, номер стационарного телефона, адрес электронной почты, адрес регистрации, адрес фактического места жительства, полные паспортные данные. ✅ Более 183 тыс. данных о кредитах: размер кредита, статус кредита, дата выдачи, идентификатор банка, идентификатор заемщика, график платежей по кредиту и т.п. ✅ Более 819 тыс. отсканированных документов: тип документа, название файла, ссылка на JPG-файл, статус, дата и т.п. ✅ Более 246 тыс. фотографий людей, подававших заявки на кредиты, сделанных с веб-камер в точках продаж, в формате JPG. ✅ Более 5 тыс. «внутренних» (видимо сотрудников компании) пользователей: ФИО, дата рождения, логин и хешированный пароль, мобильный телефон, адреса электронной почты на доменах @poslogic.pro и @finservice.pro. ✅ Более 1 тыс. кредитных продуктов: название, идентификатор банка, размер комиссии и т.п. ✅ Более 2.5 тыс. партнеров (видимо точек продаж товаров, на которые берутся кредиты): название, банковские реквизиты, фактический адрес, юридический адрес, контакты и т.п. ✅ И многое другое… Общий размер данных в базе превышал 157 Гб. И самое главное – база постоянно обновлялась и дополнялась новыми записями. Например, за один день в ней появилось более 50 новых заявок на кредиты. Про то, как исследователи обнаруживают открытые базы данных Elasticsearch и MongoDB читайте тут: https://www.devicelock.com/ru/blog/obnaruzhenie-otkrytyh-baz-dannyh-mongodb-i-elasticsearch.html