Właśnie nastąpił wyciek danych z znanego polskiego serwisu pożyczkowego. Wyciek danych z MoneyMan.pl obejmuje wyjątkowo wrażliwe informacje, jak PESEL-e, hasła, a nawet numery dowodów osobistych.
Wyciek danych MoneyMan
Jak informuje nas „Zaufana Trzecia Strona”, nastąpił duży wyciek danych z bazy serwisu MoneyMan.pl, który świadczy usługi pożyczkowe przez internet. Przykry jest nie tylko zakres danych, które wyciekły do sieci, ale również – a nawet przede wszystkim – sposób, w który internauci i prawdopodobnie administratorzy serwisu dowiedzieli się o zdarzeniu.
O wycieku bazy danych serwisu poinformował na Twitterze Bob Diachenko, który zajmuje się badaniem szeroko pojętego bezpieczeństwa baz danych.
Somebody was logging all users activity related to MoneyMan (large microfinance and loan platform) in Poland: accounts and login info in plain text (email + password), PII of Polish citizens (ID, passport numbers), addresses, phones, loan details. Any Polish media to follow up? pic.twitter.com/rjBGbhCvMg
— Bob Diachenko (@MayhemDayOne) March 10, 2020
Sytuacja jest niemal dramatyczna na kilku płaszczyznach. Po pierwsze – ze względu na zakres danych, które wyciekły do sieci.
Co obejmuje wyciek danych z MoneyMan?
Źródłowy serwis wskazuje, że w bazie danych, którą znaleziono w sieci, znajdują się takie dane użytkowników, jak:
- imiona i nazwiska
- adresy e-mail
- numery PESEL
- numery dowodów osobistych lub paszportów
- hasła
- numery rachunków bankowych
Jest to niewątpliwie szeroki katalog danych, szczególnie z uwagi na fakt, że znajduje się tam PESEL, czy też numer dowodu osobistego.
Same hasła zapisane były w postaci plaintext, czyli w zwykłej, nieszyfrowanej formie tekstowej. Rekordów w bazie danych, która wyciekła, jest prawie 300 tysięcy. To niestety nie jest koniec problemu, bo MoneyMan nie reaguje na fakt wycieku.
Reakcja MoneyMan na wyciek danych
„Zaufana Trzecia Strona” poinformowała serwis MoneyMan o wycieku bazy danych, co niestety nie spotkało się z żadną odpowiedzią. Jedyną reakcją serwisu była zmiana hasła wszystkich użytkowników, wysyłając nowe dane logowania za pośrednictwem SMS-ów.
Źródłowy serwis wskazał także na istotny problem, wyrażający się w tym, że po zmianie hasła przez użytkowników zostaje ono wysłane w postaci tekstowej na adres e-mail użytkownika. Nie jest to z pewnością poziom bezpieczeństwa, jakiego wymagałoby się od instytucji – w jakimś stopniu – finansowej.
Co ważne, nie ma żadnych dowodów, a nawet poszlak, by przypuszczać, że informacje z bazy danych zostały wykorzystane w sposób bezprawny. Jeżeli jednak tak wrażliwe dane dostałyby się w ręce cyberprzestępców, szczególnie, że są tam takie dane, jak PESEL, czy numer dowodu osobistego, to mogłyby one posłużyć do – przykładowo – wytworzenia falsyfikatów dokumentów, mogących służyć – przy pobieżnej weryfikacji – do zaciągnięcia zobowiązań w imieniu osób, których dane wyciekły.