Phiên bản máy chủ ElasticSearch được để mở trên Internet mà không có mật khẩu chứa thông tin tài chính nhạy cảm về các khoản vay từ các dịch vụ tài chính của Ấn Độ và Châu Phi.
Vụ rò rỉ, được phát hiện bởi các nhà nghiên cứu từ công ty bảo mật thông tin UpGuard, lên tới 5,8GB và bao gồm tổng cộng 1.686.363 bản ghi.
“Những hồ sơ đó bao gồm thông tin cá nhân như tên, số tiền cho vay, ngày sinh, số tài khoản, v.v.”, UpGuard cho biết trong một báo cáo được chia sẻ với The Hacker News. “Tổng số 48.043 địa chỉ email duy nhất đã được thu thập, một số trong số đó dành cho quản trị viên sản phẩm, khách hàng doanh nghiệp và đại lý thu thập được chỉ định cho từng trường hợp.”
Phiên bản bị lộ, được sử dụng làm nơi lưu trữ dữ liệu cho một nền tảng đòi nợ có tên là ENCollect, đã được phát hiện vào ngày 16 tháng 2 năm 2022. Máy chủ bị rò rỉ kể từ đó không thể truy cập cho công chúng kể từ ngày 28 tháng 2 sau sự can thiệp của Nhóm Ứng cứu Khẩn cấp Máy tính Ấn Độ đội (CERT-In).
ENCollect được coi là “ứng dụng của người thu tiền tốt nhất thế giới”, cho phép các đại lý thu nợ theo dõi các khoản thanh toán khoản vay, bắt đầu các hành động pháp lý cũng như đưa ra các phương pháp quản lý, dàn xếp và thu hồi nợ.
UpGuard cho biết các khoản vay bắt nguồn từ các dịch vụ cho vay như Lendingkart, IndiaLends, Shubh Loans (MyShubhLife), Centrum, Rosabo và Accion, với thông tin bị rò rỉ cũng bao gồm các chi tiết cá nhân liên quan đến người vay.
Hơn nữa, tập dữ liệu bao gồm 114.747 địa chỉ gửi thư, 105.974 số điện thoại và 157.403 khoản vay. Một tập hợp con của các hồ sơ này cũng tiết lộ thông tin bổ sung như chi tiết liên lạc của những người cùng nộp đơn, thành viên gia đình và các tài liệu tham khảo cá nhân khác.
“Một số hồ sơ có số tiền quá hạn, loại và thời hạn của khoản vay, và các ghi chú nội bộ do nhân viên cơ quan thu nợ để lại liên quan đến việc hoàn trả khoản vay”, UpGuard nói.
Mặc dù máy chủ được định cấu hình sai đã được bảo mật, nhưng luôn có khả năng bất kỳ ai có ý định xấu có thể sử dụng thông tin để nhắm mục tiêu người dùng như một phần của các âm mưu lừa đảo hoặc tống tiền và thậm chí giả dạng người thu tiền để nhắm mục tiêu người vay.
Các nhà nghiên cứu cho biết: “Việc số hóa các dịch vụ tài chính mang lại nhiều cơ hội về hiệu quả trong các quy trình như thu hồi nợ, nhưng cũng tạo ra những rủi ro không mong muốn trong chuỗi cung ứng”. “Các giải pháp của nhà cung cấp cũng tạo ra rủi ro cho việc phơi bày nhiều bên khi tập dữ liệu của họ được lấy từ một số khách hàng, như trong trường hợp này.”
.
