İnternette parola olmadan açık bırakılan bir ElasticSearch sunucu örneği, Hindistan ve Afrika finans hizmetlerinden alınan krediler hakkında hassas finansal bilgiler içeriyordu.
Bilgi güvenliği şirketi UpGuard’dan araştırmacılar tarafından keşfedilen sızıntı, 5.8 GB boyutunda ve toplam 1.686.363 kayıttan oluşuyordu.
UpGuard, “Bu kayıtlar ad, kredi tutarı, doğum tarihi, hesap numarası ve daha fazlası gibi kişisel bilgileri içeriyordu.” dedim The Hacker News ile paylaşılan bir raporda. “Koleksiyonda, bazıları ürün yöneticileri, kurumsal müşteriler ve her bir vakaya atanan tahsilat aracıları için toplam 48.043 benzersiz e-posta adresi vardı.”
için veri depolama olarak kullanılan, açıkta kalan örnek borç toplama platformu ENCollect olarak adlandırılan, 16 Şubat 2022’de tespit edildi. Sızdıran sunucu, Hindistan Bilgisayar Acil Durum Müdahale Ekibi ekibinin (CERT-In) müdahalesinin ardından 28 Şubat itibarıyla halka erişilemez hale getirildi.
ENCollect (şimdiki değeri) faturalandırılan “dünyanın en iyi tahsildar uygulaması” olarak, tahsilat acentelerinin kredi ödemelerini izlemesine, yasal işlemler başlatmasına ve aynı zamanda temerrüt yönetimi, ödemeler ve geri alma için yöntemler sunmasına olanak tanır.
UpGuard, kredilerin Lendingkart, IndiaLends, Shubh Loans (MyShubhLife), Centrum, Rosabo ve Accion gibi kredi hizmetlerinden kaynaklandığını ve sızdırılan bilgilerin borçlularla ilgili kişisel bilgileri de içerdiğini söyledi.
Ayrıca, veri seti 114.747 posta adresini, 105.974 telefon numarasını ve 157.403 kredi tutarını kapsıyordu. Bu kayıtların bir alt kümesi, eş başvuranların iletişim bilgileri, aile üyeleri ve diğer kişisel referanslar gibi ek bilgileri de ortaya çıkardı.
UpGuard, “Bazı kayıtlar vadesi geçmiş tutarları, kredinin türünü ve süresini ve tahsilat kurumu personelinin kredi geri ödemeleriyle ilgili bıraktığı dahili notları içeriyordu” dedi.
Yanlış yapılandırılmış sunucunun güvenliği sağlanmış olsa da, kötü niyetli herkesin bu bilgileri dolandırıcılık veya gasp planlarının bir parçası olarak kullanıcıları hedeflemek ve hatta borçluları hedeflemek için kredi toplayıcıları gibi davranmak için kullanma olasılığı her zaman vardır.
Araştırmacılar, “Finansal hizmetlerin dijitalleştirilmesi, borç tahsilatı gibi süreçlerde verimlilik için birçok fırsat sunuyor, ancak aynı zamanda tedarik zincirinde beklenmedik riskler de yaratıyor” dedi. “Satıcı çözümleri, bu durumda olduğu gibi, veri kümeleri birkaç müşteriden alındığında çok taraflı riskler için risk yaratır.”