Une instance de serveur ElasticSearch laissée ouverte sur Internet sans mot de passe contenait des informations financières sensibles sur les prêts des services financiers indiens et africains. La fuite, qui a été découverte par des chercheurs de la société de sécurité de l’information UpGuard, s’élevait à 5,8 Go et consistait en un total de 1 686 363 enregistrements. « Ces enregistrements comprenaient des informations personnelles telles que le nom, le montant du prêt, la date de naissance, le numéro de compte, etc. », a déclaré UpGuard dans un rapport partagé avec breachtrace. « Un total de 48 043 adresses e-mail uniques figuraient dans la collection, dont certaines étaient destinées aux administrateurs de produits, aux entreprises clientes et aux agents de recouvrement affectés à chaque cas. » L’instance exposée, utilisée comme stockage de données pour une plate-forme de recouvrement de créances appelée ENCollect, a été détectée le 16 février 2022. Le serveur qui fuit a depuis été rendu inaccessible au public à partir du 28 février suite à l’intervention de l’équipe indienne d’intervention d’urgence informatique. équipe (CERT-In). ENCollect est présenté comme la « meilleure application de collection au monde », permettant aux agents de recouvrement de suivre les remboursements de prêts, d’engager des actions en justice et de proposer des méthodes de gestion des impayés, de règlement et de reprise de possession.

UpGuard a déclaré que les prêts provenaient de services de prêt tels que Lendingkart, IndiaLends, Shubh Loans (MyShubhLife), Centrum, Rosabo et Accion, les informations divulguées incorporant également des détails personnels associés aux emprunteurs. De plus, l’ensemble de données comprenait 114 747 adresses postales, 105 974 numéros de téléphone et 157 403 montants de prêt. Un sous-ensemble de ces dossiers a également révélé des informations supplémentaires telles que les coordonnées des codemandeurs, des membres de la famille et d’autres références personnelles. « Certains dossiers contenaient des montants en souffrance, le type et la durée du prêt, et des notes internes laissées par le personnel de l’agence de recouvrement concernant les remboursements de prêt », a déclaré UpGuard. Bien que le serveur mal configuré ait été sécurisé, il y a toujours des chances qu’une personne ayant une intention malveillante utilise les informations pour cibler les utilisateurs dans le cadre d’escroqueries ou d’extorsions et même se fasse passer pour des collecteurs de prêts pour cibler les emprunteurs. « La numérisation des services financiers offre de nombreuses opportunités d’efficacité dans des processus tels que le recouvrement de créances, mais crée également des risques inattendus dans la chaîne d’approvisionnement », ont déclaré les chercheurs. « Les solutions de fournisseurs créent également le risque d’expositions multipartites lorsque leurs ensembles de données proviennent de plusieurs clients, comme dans ce cas. »

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *