Kreditechune startup de crédit à la consommation spécialisée dans les prêts aux consommateurs « non bancarisés » avec peu ou pas de cote de crédit, enquête sur une violation de données qui a été révélée après que des pirates malveillants ont publié en ligne des milliers de dossiers personnels et financiers de candidats.

Une capture d’écran du site Tor qui renvoie aux documents volés à Kreditech.
Plus tôt ce mois-ci, une source a pointé BreachTrace vers un site Web accessible uniquement via Tor, un progiciel qui dirige le trafic Internet via un réseau mondial gratuit de relais. Cette page, illustrée dans une capture d’écran à droite, comprenait des liens vers d’innombrables documents, passeports numérisés, permis de conduire, cartes d’identité nationales et accords de crédit apparemment extraits des serveurs de Kreditech.
Le site a annoncé qu’un groupe de pirates se faisant appeler « A4 » avait mis les informations en ligne après avoir trouvé « des centaines de gigaoctets » de documents de Kreditech, y compris ce qui semble être des fichiers de configuration de l’intranet et des serveurs internes de l’entreprise.
« L’entreprise, obtenant des investissements de plusieurs millions, a probablement décidé de les dépenser pour autre chose que la sécurité des données de ses clients », a écrit le groupe de hackers. « Comme l’explique un membre d’A4, non pas que la sécurité de l’entreprise soit à un niveau bas, elle est absente en tant que telle. ”
Anna Friedrichresponsable des communications chez le prêteur basé à Hambourg, en Allemagne, a reconnu que la société avait eu un « incident de sécurité interne isolé » en novembre 2014 et que la police de Hambourg enquêtait.
Friedrich a déclaré que Kreditech pensait que les données n’avaient pas été volées aux clients mais uniquement aux demandeurs de crédit. Elle a ajouté que Kreditech pense que les informations ont été divulguées de l’intérieur par quelqu’un qui travaillait dans l’entreprise – bien qu’elle ait refusé de dire si le suspect était un employé actuel ou ancien.
« Il n’y a aucun accès aux données des clients », a déclaré Friedrich. « Cet incident découlait d’un formulaire sur notre site Web qui stockait des données dans un système de mise en cache qui supprimait les données tous les quelques jours. Ce qui s’est passé, c’est qu’un sous-ensemble de données d’application a été affecté. Nous collaborons avec la police, mais malheureusement, je n’ai plus d’informations à partager. ”
Corey Wellsle chercheur en sécurité de 19 ans de Virginie-Occidentale qui a alerté cet auteur sur la compromission, a déclaré avoir découvert la brèche après avoir construit un robot d’exploration pour identifier et indexer les sites Web sur le réseau Tor.
Le groupe de hackers n’a pas précisé comment il avait obtenu les documents. Wells a déclaré que les données divulguées incluent des journaux bruts d’un système qui semble avoir fonctionné MongoDBune plateforme multiplateforme base de données orientée documents. Ces journaux incluent un horodatage du 19 août 2014, suggérant que la violation a peut-être commencé il y a sept mois.
Wells a déclaré qu’il n’achetait pas la version des événements de Kreditech, et que les fichiers divulgués par la société et publiés en téléchargement sur le site Web de Tor suggèrent qu’au moins certains provenaient de clients existants.
« Il y a des sommes bancaires, des montants qui sont dans la transaction et le montant qui reste dans les comptes », a déclaré Wells. « Certains d’entre eux ressemblent à des personnes qui ont déjà des comptes avec eux. »
Contrairement aux prêteurs traditionnels, qui dépendent fortement des antécédents de paiement et de crédit du demandeur, Kreditech est l’un des nombreux prêteurs à puiser dans les données des réseaux sociaux pour déterminer le risque de prêter aux personnes qui ont du mal à obtenir un crédit. Kreditech le dit utilise jusqu’à 15 000 points de données lors de l’évaluation d’une demande de prêt.
L’entreprise a récemment obtenu son propre crédit, recevant une ligne de crédit de 200 millions de dollars de Capitale du parc de la victoire. Selon une histoire de janvier 2015 à TechCrunchcet accord était l’un des plus importants de l’histoire des services de prêt en ligne.
Alors que Victory Park Capital est une société d’investissement privée basée à Chicago, Kreditech ne semble pas opérer aux Etats-Unis, ni en Allemagne où elle est basée. Selon un bref aperçu des documents divulgués en ligne, la majeure partie des clients/candidats de Kreditech sont originaires du Brésil, de la République tchèque, de la République dominicaine, du Mexique, de Pologne, de Russie, d’Espagne et de Roumanie.
Mise à jour, 28 mars, 9h40 : Les avocats de Kreditech m’ont envoyé une lettre (PDF) demandant une correction immédiate sur plusieurs aspects de l’histoire. La plupart du temps, la lettre n’est pas d’accord avec les déclarations faites non pas par cet auteur mais par d’autres cités dans l’histoire. La société conteste que toutes les données des candidats en République dominicaine aient pu être compromises parce que la société n’a commencé ses opérations là-bas qu’après la violation. Kreditech a également déclaré qu’il n’avait pas encore lancé d’opérations au Brésil ou en Roumanie.