Una instancia del servidor de ElasticSearch que se dejó abierta en Internet sin contraseña contenía información financiera confidencial sobre préstamos de servicios financieros indios y africanos.
La fuga, que fue descubierta por investigadores de la empresa de seguridad informática UpGuard, ascendió a 5,8 GB y constaba de un total de 1.686.363 registros.
“Esos registros incluían información personal como nombre, monto del préstamo, fecha de nacimiento, número de cuenta y más”, UpGuard dicho en un informe compartido con The Hacker News. “Se recogieron un total de 48.043 direcciones de correo electrónico únicas, algunas de las cuales eran para administradores de productos, clientes corporativos y agentes de cobro asignados a cada caso”.
La instancia expuesta, utilizada como almacenamiento de datos para un plataforma de cobro de deudas llamado ENCollect, se detectó el 16 de febrero de 2022. Desde entonces, el servidor con fugas se ha vuelto inaccesible para el público a partir del 28 de febrero luego de la intervención del equipo del Equipo de Respuesta a Emergencias Informáticas de la India (CERT-In).
ESCollect es facturado como la “mejor aplicación para cobradores del mundo”, que permite a los agentes de cobranza realizar un seguimiento de los pagos de préstamos, iniciar acciones legales y ofrecer métodos para la gestión de morosidad, liquidaciones y embargos.
UpGuard dijo que los préstamos se originaron a partir de servicios de préstamo como Lendingkart, IndiaLends, Shubh Loans (MyShubhLife), Centrum, Rosabo y Accion, y la información filtrada también incorpora detalles personales asociados con los prestatarios.
Además, el conjunto de datos incluía 114 747 direcciones postales, 105 974 números de teléfono y 157 403 montos de préstamos. Un subconjunto de estos registros también reveló información adicional, como detalles de contacto de los cosolicitantes, miembros de la familia y otras referencias personales.
“Algunos registros contenían montos vencidos, el tipo y la duración del préstamo y notas internas dejadas por el personal de la agencia de cobranza con respecto a los reembolsos del préstamo”, dijo UpGuard.
Aunque el servidor mal configurado ha sido asegurado, siempre hay posibilidades de que cualquier persona con intenciones maliciosas pueda usar la información para apuntar a los usuarios como parte de estafas o esquemas de extorsión e incluso hacerse pasar por cobradores de préstamos para apuntar a los prestatarios.
“La digitalización de los servicios financieros brinda muchas oportunidades para la eficiencia en procesos como el cobro de deudas, pero también crea riesgos inesperados en la cadena de suministro”, dijeron los investigadores. “Las soluciones de proveedores también crean el riesgo de exposiciones multiparte cuando sus conjuntos de datos provienen de varios clientes, como en este caso”.
About the Author
