Данные тысяч заёмщиков из ПО ENCollect были найдены компанией UpGuard в свободном доступе
Эксперты из компании UpGuard узнали об утечке 5,8 ГБ базы данных программного обеспечения ENCollect. Это 1 686 363 записей, которые включают личную информацию пользователей: имена, суммы кредита, даты рождения, номера счёта и другую платежную информацию. 16 февраля 2022 года специалисты из ИБ-компании обнаружили экземпляр сервера ElasticSearch, используемый как хранилище данных для ПО ENCollect. Но 28 февраля сервер был закрыт для публичного доступа. Это произошло после вмешательства индийской команды CERT-In (Computer Emergency Response Team).
Компания UpGuard заявила об утёкших записях, содержащих информацию о кредитах от служб Lendingkart, IndiaLends, Shubh Loans (MyShubhLife), Centrum, Rosabo и Accion, , а также личные данные заёмщиков. Причем часть содержала дополнительную информацию с контактами созаявителей, членов семьи и прочими подобными данными. В базе также было 114 747 почтовых адресов, 105 974 номера телефонов и информация о 157 403 займах. И хотя сейчас сервер закрыт и защищён, неизвестно, что попало в руки злоумышленников. Вполне возможно, что все данные были украдены, и они будут использованы для мошенничества, вымогательства или социальной инженерии с последующими дополнительными хакерскими атаками, а возможно, для перепродажи другим преступникам.
В апреле прошлого года была похожая ситуация с компанией Джека Дорси Block, которая заявила об утечке в своём сервисе Cash App. Но тогда была украдена база данных полных имен клиентов и номеров брокерских счетов на 8,2 млн нынешних и бывших клиентов в США. Кроме того, кража данных включала не всю информацию. Например, платёжнуя информация или пароли к учетным записям Cash App не были скомпрометированы. И произошло это по вине бывшего сотрудника. Он получил доступ к информации через учетную запись Cash App и выгрузил внутренние отчёты компании.
