Bankingly: данные 135 000 жителей Латинской Америки оказались в сети

Bankingly: данные 135 000 жителей Латинской Америки оказались в сети

Одна ошибка потрясла 2 континента.

image

Платформа онлайн-банкинга Bankingly допустила утечку данных 7 финансовых учреждений, затронув клиентов по всей Центральной и Южной Америке.

24 мая команда Cybernews выявила 7 хранилищ Azure Blob Storage, которые не имели необходимой аутентификации. Из-за уязвимости в открытом доступе оказались персональные данные почти 135 000 клиентов в Латинской Америке.

Утечка затронула жителей Доминиканской Республики, Мексики, Эквадора, Сальвадора, Боливии и Коста-Рики. При этом большинство пострадавших, около 100 000 человек, являются гражданами Доминиканской Республики.

Количество жертв, страны и пострадавшие финансовые учреждения

Bankingly – финансово-технологическая платформа, предоставляющая веб-сервисы и мобильные приложения для финансовых учреждений Латинской Америки. Компания, базирующаяся в Уругвае, обслуживает преимущественно небольшие и средние банки, кредитные союзы и микрофинансовые организации, большинство из которых находятся в сельских регионах Латинской Америки.

Bankingly использовала хранилища для хранения данных клиентов, включая их персональную информацию и банковские учетные данные, что позволяло предоставлять программные решения финансовым организациям.

Под угрозой оказались следующие данные:

  • Полные имена;
  • Имена пользователей финансовых приложений;
  • Адреса электронной почты;
  • Номера телефонов;
  • Рабочие номера телефонов.

Утечка затронула следующие учреждения:

  • «San Martín de Porres» (COSMART);
  • «La Nacional de Ahorros y Préstamos» (ALNAP);
  • Caja Buenos Aires;
  • Caja Mitras;
  • Coac Puellaro;
  • Credecoop;
  • AMC.

Раскрытые данные

Проблема не только в репутационных потерях для финансовых организаций. Утечка также создает серьезные риски для безопасности данных клиентов. Хотя опубликованные данные не дают злоумышленникам прямого доступа к финансовым операциям, они могут стать базой для тщательно продуманных фишинговых атак.

Обычно для совершения таких операций требуются более чувствительные сведения, такие как данные удостоверений личности, номера социального страхования или пароли. Тем не менее, наличие персональных данных повышает риск фишинговых атак и социальной инженерии. Например, мошенники могут отправлять письма от имени банковского учреждения жертвы или звонить, представляясь сотрудниками банка, чтобы обманным путем получить еще больше личных сведений или учетные данные.

Еще один потенциальный риск – атаки типа «credential stuffing», при которых преступники используют уже утекшие учетные записи для доступа к другим платформам, если клиенты повторно используют одни и те же пароли.

На данный момент уязвимость Bankingly была устранена, и доступ к базам данных закрыт. Однако официальный комментарий компания пока не предоставила. Также Cybernews направили запросы в пострадавшие финансовые учреждения и ожидают их ответов.

Ищем баги вместе! Но не те, что в продакшене...

Разбираем кейсы, делимся опытом, учимся на чужих ошибках

Зафиксируйте уязвимость своих знаний — подпишитесь!