База с тысячами должников украинских банков оказалась в открытом доступе

Известный украинский эксперт по кибербезопасности, ведущий разработчик компании ИТ-Лаборатория Александр Галущенко обнаружил в открытом доступе базу данных некой "коллекторской" фирмы с данными тысяч граждан Украины.

Об этом сообщил в рамках флешмоба fuckresponsibledisclosure, направленного на публичные оповещения о нарушениях безопасности, передает InternetUA.

На сервере, находящемся в открытом доступе в сети - статистика звонков коллекторов, метаданные и номера телефонов должников. Судя по всему, "расшаренными" в сеть оказались данные телефонии одной из коллекторских фирм, работающих с рядом крупных банков.

- Банки. Кредиты. Коллекторы. Звонки. Статистика. Компания на аутсорсе. Расшаренные папки. Свободный доступ. Метаданные в таблицах. Прямые ссылки на базы данных, зашитые в скриптах. Грустно. Судя по архиву, деятельность эта компания ведет много лет, - прокомментировал Александр Галущенко.

Также, как стало известно, сервер коллекторской компании может быть заражен и, соответственно, чувствительные данные могли "утечь" к злоумышленникам.

Судя по опубликованным скриншотам, в базе данных - сведения об украинцах, являющихся должниками таких банков как ПУМБ, Монобанк, Альфа Банк,ИдеяБанк и многих других.

В Монобанке уже подтвердили, что утечка произошла в компании, которая является его партнером:

- К счастью номеров телефона клиентов моно [в открытом доступе - Ред.] нет, только отчеты по звонкам. Но крайне неприятно от партнеров такие сюрпризы получать, - сообщил специалист по безопасности и рискам monobank Дмитрий Ковалевский. - Это хоть и не фатальный удар по репутации, но неприятный инцидент, в результате которого сейчас запущено разбирательство. Мы очень много инвестируем в то, чтобы утечек не было, и всегда крайне негативно относимся к передаче любых данных о клиентах сторонним (в том числе по трехсторонним договорам) организациям, даже операторам связи, которые и так знают кто чей клиент.

Как рассказал нашему изданию Александр Галущенко, банки очень активно решали проблему - в течение 10 минут после публикации на связь с экспертом вышли представители целого ряда банков, упомянутых в записи.

На данный момент сервер коллекторской компании уже отключен. По имеющимся у нас сведениям, юристы некоторых банков уже готовят иски к этой компании за несоблюдение правил обработки и хранения данных.