Een ElasticSearch-serverinstantie die zonder wachtwoord op internet werd opengelaten, bevatte gevoelige financiële informatie over leningen van Indiase en Afrikaanse financiële diensten.
Het lek, dat werd ontdekt door onderzoekers van informatiebeveiligingsbedrijf UpGuard, bedroeg 5,8 GB en bestond uit in totaal 1.686.363 records.
“Die gegevens bevatten persoonlijke informatie zoals naam, geleend bedrag, geboortedatum, rekeningnummer en meer,” UpGuard zei in een rapport gedeeld met The Hacker News. “In totaal waren er 48.043 unieke e-mailadressen in de verzameling, waarvan sommige voor de productbeheerders, zakelijke klanten en incassobureaus die aan elke zaak waren toegewezen.”
De blootgestelde instantie, gebruikt als gegevensopslag voor a incasso platform genaamd ENCollect, werd gedetecteerd op 16 februari 2022. De lekkende server is sindsdien op 28 februari niet meer toegankelijk gemaakt voor het publiek na tussenkomst van het Indian Computer Emergency Response Team-team (CERT-In).
NLVerzamelen is gefactureerd als ‘s werelds beste app voor verzamelaars’, waarmee incassobureaus betalingen van leningen kunnen volgen, juridische stappen kunnen ondernemen en methoden kunnen aanbieden voor het beheer van wanbetalingen, schikkingen en inbeslagname.
UpGuard zei dat de leningen afkomstig waren van uitleendiensten zoals Lendingkart, IndiaLends, Shubh Loans (MyShubhLife), Centrum, Rosabo en Accion, waarbij de gelekte informatie ook persoonlijke gegevens bevat die verband houden met de leners.
Verder omvatte de dataset 114.747 postadressen, 105.974 telefoonnummers en 157.403 leenbedragen. Een deel van deze records onthulde ook aanvullende informatie, zoals contactgegevens van mede-aanvragers, familieleden en andere persoonlijke referenties.
“Sommige records bevatten achterstallige bedragen, het type en de lengte van de lening en interne aantekeningen van het personeel van het incassobureau met betrekking tot de terugbetaling van leningen”, zei UpGuard.
Hoewel de verkeerd geconfigureerde server is beveiligd, bestaat er altijd een kans dat iemand met kwade bedoelingen de informatie waarschijnlijk gebruikt om gebruikers te targeten als onderdeel van oplichting of afpersingsschema’s en zelfs zich voordoet als leningverzamelaars om leners te targeten.
“De digitalisering van de financiële dienstverlening biedt veel kansen voor efficiëntieverbeteringen in processen zoals incasso, maar creëert ook onverwachte risico’s in de toeleveringsketen”, aldus de onderzoekers. “Oplossingen van leveranciers creëren ook het risico voor blootstelling aan meerdere partijen wanneer hun datasets afkomstig zijn van verschillende klanten, zoals in dit geval.”
