Cover Image

Provider di mutui per la casa esposti con 695k record online

8 Luglio 2020 - Tempo di lettura: 5 minuti

Questa scoperta è stata pubblicata su Secure Thoughts, un sito sulla privacy e la sicurezza dei dati dedicato alla sensibilizzazione su come gli individui possono proteggere le loro comunicazioni, azioni e discussioni digitali.

Il 20 maggio è stato scoperto un database accessibile pubblicamente che conteneva una grande quantità di record. Si è stati in grado di visualizzare informazioni coerenti con i dati sui lead dei mutui per la casa e i sistemi di gestione dei contenuti interni. Il database non richiedeva nome utente o password e chiunque avesse una connessione Internet avrebbe potuto potenzialmente accedere ai 695.636 record esposti.

Cosa conteneva il database?

  • 695.636 Record totali esposti

  • Nomi dei clienti in prestito, alcuni indirizzi e-mail, indirizzi fisici, numeri di conto prestiti, importi del prestito e altro.

  • C'erano 3 cartelle che contenevano informazioni potenzialmente identificabili. Uno chiamato "Credito" e due cartelle separate denominate "Leads".

    • ** Credito: 83.0k Record : questo conteneva i risultati della qualificazione del credito e del prestito, ad es. approvato, in sospeso, prospetto, ecc.

    • ** Lead: 146k Records / Leads: 149k Records : erano persone che cercavano di ottenere un nuovo prestito da una campagna pubblicitaria, o persone che hanno già un prestito e potrebbero cercare di rifinanziare i loro prestiti esistenti. Non è chiaro se ci fossero dati duplicati in queste cartelle separate. Nel campionamento limitato, ho visto che sembravano unici.

  • Record di gestione dei contenuti interni, nomi dei dipendenti, e-mail, stato del prestito, note e molto altro.

  • Informazioni di configurazione che fanno riferimento al middleware e alle informazioni sulla build . Ciò potrebbe fornire exploit per consentire potenzialmente un percorso secondario per il malware.

  • Indirizzi IP, porte, percorsi e informazioni di archiviazione che i criminali informatici potrebbero potenzialmente sfruttare per accedere più in profondità alla rete.

intopic.it