В Интернет «слили» персональные данные более 44 тысяч россиян, которые хотели взять кредит

Данные клиентов кредитного брокера «Альфа-Кредит» странным образом попали в Интернет, пишет РБК. Компания, чья база клиентов оказалась в свободном доступе, занимается сбором заявок на кредиты и помощью в получении займа в банке. Компания на сайте указывает, что не связана с Альфа-Банком, однако имеет похожие название и фирменный цвет. Выяснилось, что данные содержались в системе управления базами данных MongoDB с открытым кодом — некоторые компании используют их для внутренних задач. Как рассказал журналистам технический директор компании в сфере информационной безопасности DeviceLock Ашот Оганесян, поисковик проиндексировал базу 31 января. В тот же день DeviceLock уведомила брокера о происшествии.

Как убедились журналисты, база содержала более 44 тысяч записей. В каждой были указаны ФИО клиента, сумма и вид запрашиваемого кредита, номер телефона, адрес электронной почты, город и регион проживания. Несколько человек из базы подтвердили РБК, что подавали заявку на заём через «Альфа-Кредит». Утечку подтвердил также источник, близкий к брокеру.

Как пояснил Оганесян, базы данных MongoDB могут попасть в открытый доступ из-за халатности системных администраторов, а также обслуживающего и настраивающего их технического персонала. Эксперт пояснил: по умолчанию MongoDB не требует логин и пароль для получения доступа к ней.  Поэтому, если эти степени защиты не будут настроены, то данные автоматически оказываются в сети, а специализированные поисковики их индексируют и находят. Использовать информацию могут  участники финансового рынка: например, банки. Они могут обзванивать ее фигурантов для привлечения клиентов.

На запрос журналистов в «Альфа-Кредите» не ответили, хотя на следующий день, 4 февраля, база была закрыта. Таким образом, данные клиентов были в свободном доступе в течение четырех дней.