Laporan: Data Bocor dari 2 Situs Layanan Keuangan India


Dipimpin oleh peneliti mapan, Noam Rotem dan Ran Locar, tim peneliti vpnMentor baru-baru ini ditemukan pelanggaran dalam basis data Credit Fair dan Chqbook, dua layanan terkait kredit dan pinjaman pribadi India.

Credit Fair menawarkan pelanggan akses ke pinjaman pribadi kecil. Di Chqbook, pelanggan dapat membandingkan produk keuangan pribadi, seperti pinjaman dan kartu kredit, berdasarkan keadaan pribadi dan status keuangan mereka. Kedua situs web tersebut mengharuskan pelanggan untuk memberikan perincian pribadi dan finansial yang besar bahwa jika di tangan yang salah, dapat digunakan dengan sejumlah cara ilegal.

Tim kami ditemukan kerentanan dalam database situs web yang memberi akses ke detail pribadi dan finansial pelanggan mereka yang sangat besar.

Basis data tidak terenkripsi dan sama sekali tidak aman, menciptakan risiko besar bagi pelanggan kedua perusahaan.

Reaksi Penemuan dan Pemilik

Tim kami menemukan kebocoran pada 24 Juli. Untungnya, Chqbook menutup kebocorannya dalam waktu 48 jam. Namun, pada saat penulisan, kebocoran Credit Fair tetap terbuka (31 Juli).

Kami juga telah menghubungi kedua perusahaan untuk memberi tahu mereka tentang pelanggaran data.

Contoh Entri dalam Database

Baik Credit Fair dan Chqbook mengharuskan pelanggan untuk membuat akun dan berbagi informasi pribadi dan keuangan yang signifikan di situs web mereka. 

Semua informasi ini dulu di-host pada database tanpa jaminan yang mudah diakses oleh tim kami. Contoh detail pelanggan yang dapat kami ekstrak di bawah.

Credit Fair (44.000 catatan):

  • Nama lengkap
  • Nomor telepon
  • Alamat
  • Tanggal lahir
  • Info lengkap tentang pinjaman (jumlah, status, kurs, tanggal pembuatan, nama pemohon)
  • Nomor PAN - kartu identitas India
  • alamat IP 
  • Token sesi 
  • AADHAAR - nomor ID India (https://uidai.gov.in/)
  • Kata sandi teks biasa (tidak berfungsi) 
  • Tautan ke laporan penipuan

Chqbook (67 GB data bocor):

  • Nama lengkap
  • Nomor telepon
  • Alamat
  • Alamat email
  • Nomor kartu kredit
  • Tanggal kadaluarsa kartu
  • Jenis kartu
  • Jumlah transaksi
  • identitas pengguna
  • Kata sandi teks biasa
  • Token sesi
  • Kemampuan mengirim SMS
  • Pendapatan bulanan
  • Jenis kelamin
  • Tanggal lahir 
  • Nama Kota
  • Profil pekerjaan

Jika semua informasi yang tidak aman ini digabungkan, agen jahat dan penjahat akan melakukannya gambaran substansial dari catatan keuangan pribadi pelanggan individu. Informasi ini dapat digunakan dalam sejumlah cara berbahaya dan ilegal. 

Laporan: Data Bocor dari 2 Situs Layanan Keuangan India

Contoh catatan Credit Fair

Dampak Pelanggaran Data

Penipuan Identitas

Informasi dalam basis data ini dapat digunakan untuk membangun profil lengkap Credit Fair atau pelanggan Chqbook. Aktor jahat bisa menggunakan ini untuk mencuri identitas pelanggan. Kedua database termasuk nama lengkap, email, alamat fisik, nomor ID pribadi, dan banyak lagi. 

Penjahat bisa mudah membuat akun di situs web yang berbeda untuk sejumlah aktivitas online, legal dan lainnya, itu akan biaya pelanggan jauh. Mereka juga bisa mengambil alih akun pelanggan di Credit Fair dan Chqbook, biaya setiap bisnis banyak dalam penyelidikan, pemulihan akun, dan pendapatan. 

Pengambilalihan Akun

Pengambilalihan akun adalah bentuk penipuan identitas yang sangat rentan terhadap pelanggan dan perusahaan seperti Credit Fair dan Chqbook, berdasarkan pelanggaran data ini. 

Jika akun korban dapat diakses, perinciannya dapat diubah, atau transaksi dapat dilakukan atas nama mereka. Pelanggan harus membayar penipuan, seperti mengambil pinjaman penipuan.

Seorang peretas kriminal dapat mengubah rekening bank pada pelanggan Credit Fair akun yang mereka miliki. Peretas kemudian bisa mengambil pinjaman dan mentransfernya ke dalam rekening bank mereka. Korban yang menggunakan akun Credit Fair sekarang harus membayar kembali pinjaman itu. 

Demikian pula, akun pelanggan Chqbook dapat digunakan untuk membeli kartu kredit atas nama orang lain. Mereka kemudian akan bertanggung jawab atas pembelian penipuan yang dilakukan pada kartu itu. 

Pengelabuan

Data ini dapat digunakan untuk buat kampanye phishing yang rumit dan ilegal yang ditujukan untuk menipu pelanggan Chqbook dan Credit Fair. Phishing melibatkan pengiriman email palsu yang mengaku berasal dari bisnis atau lembaga pemerintah tertentu, dengan tujuan mengekstraksi informasi keuangan dari para korban. 

Saat terbuka, itu Basis data Credit Fair dan Chqbooks bisa memberikan data berharga dalam jumlah besar untuk penjahat. Mereka juga bisa digunakan untuk membuat email phishing yang sangat spesifik dan meyakinkan untuk mengisi kekosongan. 

Pemerasan dan Pemerasan 

Banyak informasi yang dapat diakses oleh tim kami dari sifat pribadi dan sensitif. 

Kita bisa melihat pelanggan status kredit dan pekerjaan, apakah mereka diterima untuk pinjaman, dan nomor ID pemerintah mereka. 

Tidak hanya beberapa informasi pribadi ini bisa memalukan, tetapi juga bisa digunakan untuk menargetkan pelanggan secara pribadi dalam beberapa cara. Jika seorang pelanggan ditolak untuk pinjaman pada salah satu situs ini, hiu pinjaman pidana dapat menggunakan kerentanan ini untuk menekan mereka menjadi pinjaman ilegal yang berbahaya. Perincian keuangan pribadi mereka bisa berupa tebusan, dan pelanggan memeras uang, menggunakan ancaman untuk mengekspos status keuangan mereka secara publik. 

Banyak orang di kedua database adalah pegawai pemerintah. Geng kriminal sangat kejam ketika memeras orang-orang yang bekerja untuk pemerintah mereka dianggap sangat berguna untuk informasi dan potensi eksploitasi. Pemerintah sering mengambil langkah-langkah kuat untuk melindungi karyawan mereka dari geng pemangsa, yang membuat pelanggaran ini semakin meresahkan. 

Pengiklan dan artis scam juga dapat menggunakan profil pelanggan untuk membuat kampanye iklan yang tepat sasaran, manipulatif, dan eksploitatif di media sosial untuk mendorong produk atau layanan pada pelanggan yang rentan. Misalnya, mengetahui seseorang di bawah tekanan keuangan, mereka bisa mendorong pinjaman berbunga tinggi dengan taktik yang menyesatkan atau meragukan.

Laporan: Data Bocor dari 2 Situs Layanan Keuangan India

Contoh rekaman chqbook

Bahaya Fisik Kebocoran

Ada juga ancaman fisik. 

Kedua database berisi alamat fisik, nomor telepon, dan nama pelanggan. Mereka juga memberikan wawasan kekayaan bersih pelanggan berdasarkan jumlah pinjaman, kredit yang tersedia, dan produk keuangan yang mereka beli. 

Ini menciptakan bahaya fisik nyata, karena seseorang dengan akses ke database dapat menggunakannya rumah tangga target untuk perampokan sesuai dengan status kekayaan mereka. Menggunakan nomor telepon dan email, pencuri dapat menghubungi pelanggan secara langsung untuk berolahraga ketika mereka tidak di rumah dan pilih waktu yang tepat untuk masuk ke rumah mereka. 

Nasihat dari Para Ahli

Masalah dan masalah yang kami kemukakan di sini sama sekali tidak konklusif. Pelanggaran dalam database ini memiliki implikasi luas untuk pelanggan Chqbook dan Credit Fair, dan bisnis itu sendiri. 

Kerentanan ini hanya dua contoh dari sekian banyak bahaya untuk siapa saja yang menggunakan instrumen keuangan online atau situs web. 

Jika Anda khawatir tentang bagaimana pelanggaran ini secara khusus, atau kerentanan data secara umum, dapat memengaruhi situs atau bisnis Anda, baca kami panduan lengkap untuk privasi online. Ini menunjukkan kepada Anda banyak cara Anda dapat ditargetkan oleh penjahat cyber, dan langkah yang bisa Anda ambil untuk tetap aman. 

Bagaimana dan Mengapa Kami Menemukan Pelanggaran

Kami menemukan pelanggaran ini sebagai akibat dari a proyek pemetaan web. Peretas kami menggunakan pemindaian port untuk memeriksa blok IP tertentu dan menguji lubang terbuka di sistem untuk mengetahui kelemahannya. Mereka memeriksa setiap lubang untuk data yang bocor. 

Tim kami menemukan keduanya Seluruh basis data Credit Fair dan Chqbooks tidak dilindungi dan tidak dienkripsi. Credit Fair menggunakan Database Mongo, sedangkan Chqbook menggunakan Pencarian Elastis, yang keduanya tidak dilindungi dengan kata sandi atau firewall.

Namun, kami dapat mengaksesnya melalui browser dan memanipulasi kriteria pencarian URL untuk mengekspos skema dari satu indeks kapan saja. 

Sebagai peretas etis, kami berkewajiban menjangkau situs web ketika kami menemukan kelemahan keamanan. Ini terutama benar ketika pelanggaran data perusahaan memengaruhi begitu banyak orang - dan dalam kasus Credit Fair dan Chqbook, masalah ini berdampak pada ribuan orang setiap hari.

Namun, etika ini juga berarti kami membawa tanggung jawab kepada publik. Credit Fair dan Chqbook pelanggan harus menyadari risiko yang mereka ambil saat menggunakan situs yang tidak berupaya melindungi penggunanya.

Tentang Kami dan Laporan Sebelumnya

vpnMentor adalah situs web tinjauan VPN terbesar di dunia. Laboratorium penelitian kami adalah layanan pro bono yang berupaya untuk membantu komunitas online mempertahankan diri terhadap ancaman dunia maya sembari mendidik organisasi untuk melindungi data pengguna mereka.

Kami baru-baru ini menemukan pelanggaran data besar yang berdampak pada 80 juta rumah tangga AS. Kami juga mengungkapkan bahwa Gearbest mengalami pelanggaran data besar-besaran. Anda mungkin juga ingin membaca Laporan Kebocoran VPN dan Laporan Statistik Privasi Data kami.

Brayan Jackson Administrator
Candidate of Science in Informatics. VPN Configuration Wizard. Has been using the VPN for 5 years. Works as a specialist in a company setting up the Internet.
follow me