В интернет попала очередная порция сведений о гражданах России, обращавшихся за оформлением займов в микрофинансовых организациях. Данные клиентов были выставлены на продажу в конце марта на специализированном сайте, пишет РБК.
По словам продавца, база содержит информацию о 12 миллионах физических лиц, которые оформляли быстрые займы в 2017-2019 годах. В бесплатном “пробнике” содержатся данные около 1,8 тысяч клиентов: фамилия, имя и отчество, паспортные данные, дата рождения, номер телефона, адрес электронной почты, регион проживания, номера электронных кошельков и сумма займа.
В записи о каждом клиенте указана ссылка на сайт, который «привел» пользователя, — в большинстве случае это финансовый маркетплейс «Юником24», позволяющий подобрать и оформить кредитные продукты.
В «Юником24» подтвердили, что указанный в продаваемой базе идентификационный код клиентов принадлежит одному из их партнеров, но не раскрыли, какому именно.
«Мы отправили официальное письмо в компанию с требованием пояснить данный факт, а также уведомили их о прекращении сотрудничества», — подчеркнул представитель маркетплейса. В фирме заявили, что утечка произошла непосредственно из микрофинансовой организации: при оформлении заявки на кредит «Юником24» просит указать лишь фамилию, имя и актуальный номер телефона.
Как заявил основатель и технический директор компании DeviceLock Ашот Оганесян, утечка могла произойти в результате выгрузки с сервера баз данных, который обслуживает информационную систему финансового супермаркета или МФО. При этом по набору данных постороннему лицу нельзя определить, какая именно компания допустила утечку. Сама база данных могла быть получена либо путем взлома этого сервера, либо из резервной копии базы, случайно попавшей в руки злоумышленников или украденной инсайдером.
С учетом того, что в базе есть не только контактные и паспортные данные, но и номера электронных кошельков, а также информация о полученных займах, злоумышленники могут использовать ее для рассылки мошеннических предложений по списанию долга за часть стоимости, платного исправления кредитной истории или попыток взять новые микрокредиты онлайн. Подобными базами мошенники могут воспользоваться и для оформления онлайн-займов на имя жертвы, однако для этого необходимы данные паспорта и СНИЛС, которого нет в продаваемой базе. Злоумышленники могут попытаться заполучить его с помощью социальной инженерии.