При запуске кредита на криптовалюту клиентские кредитные карты и пользовательские транзакции были обнаружены почти месяц – потому что он забыл защитить сервер паролем.
Исследователи в области безопасности Ноам Ротем и Ран Локар обнаружили базу данных, принадлежащую YouHodler, кредитной платформе, предназначенной для криптовалюты, которая утверждает, что обработала кредиты на сумму 10 миллионов долларов США для более чем 3500 клиентов. Исследователи поделились своими результатами исключительно с TechCrunch, а также для проверки подлинности данных. Исследователи также написал их выводы.
Как только исследователи сообщили об утечке данных, компания отключила базу данных.
База данных содержала 86 миллионов строк ежедневно обновляемых записей кредитной платформы, содержащих потоки журналов и компьютерных команд, основанных на взаимодействиях пользователей с интерфейсным веб-сайтом. Это также включало конфиденциальную информацию, такую как каждый раз, когда транзакция или кредит проходили.
Среди записей, которые мы просмотрели, мы нашли записи с достаточным количеством информации для совершения мошеннических покупок карт – таких как имена, суммы транзакций и номера кредитных карт, включая номера проверки карт (CVV) и даты истечения срока действия.
Ни одна из данных не была зашифрована.
Одна из записей транзакций, показывающая незашифрованные данные кредитной карты (Изображение: TechCrunch)
Несколько других записей, просмотренных TechCrunch, содержали банковскую информацию, включая имена, адреса, номера банковских счетов и номеров маршрутизации, коды SWIFT и сумму транзакции.
По данным исследователей, база данных также содержала номера телефонов клиентов и, в некоторых случаях, номера паспортов.
«Объем информации, включенной в базу данных, делает кражу личности пользователя простой задачей», – сказали Ротем и Локар.
После того, как данные были получены, мы связались с руководителем YouHodler Ильей Волковым до публикации, но ничего не ответили.
Это последняя открытая база данных в потоке недавних открытий исследователей за последние месяцы.
Исследователи ранее обнаружили утечку данных о фирме Fortune 500 Технические данные, открытые записи пользователей и личные сообщения еврейского приложения знакомств JCrush и утечка данных из канадской сотовой сети Freedom Mobile и интернет-магазин Gearbest, Ранее в июле исследователи обнаружили незащищенную базу данных принадлежащий Аавго, который выставил пользовательские бронирования отелей.
Прочитайте больше: