Несанкционированное раскрытие данных в Check24 и Verivox выявляет жилые адреса и данные о заработке.
В недавнем открытии хакеры обнаружили, что чувствительные данные пользователей были общедоступны в ходе операций по кредитованию, проводимых Check24 и Verivox. Этот инцидент с утечкой данных served как открытый призыв для криминальных элементов. Инсайдер из Chaos Computer Club (CCC) указал на явное небрежное обращение с данными потребителей.
Как сообщает Correctiv, CCC раскрыл существование значительных утечек данных с кредитных платформ Check24 и Verivox. В течение некоторого времени детали договоров о займах, в том числе данные о доходах и номера банковских счетов, могли быть легко загружены с обоих сайтов сравнения. "Любой с простым интернет-поиском мог бы узнать, где проживают пользователи, состав их семьи, места работы, уровни дохода, планы погашения кредитов и информацию о банковских счетах", - отметил спикер CCC.
Verivox быстро отреагировал на утечку, заявив, что она была сразу же устранена после уведомления от CCC, и нет доказательств несанкционированного доступа к данным, кроме инсайдера. Они заявили, что их клиентам не был причинен вред в результате этого инцидента. Сотрудник по защите данных в штате Баден-Вюртемберг в настоящее время расследует дело.
Check24 первоначально проигнорировал проблему, но later исправил проблему, отрицая любой несанкционированный доступ к файлам и переобучая свой персонал.
Инсайдер заявляет: "Небрежное обращение" с данными клиентов
Согласно CCC, IT-специалист впервые обнаружил уязвимости на Check24 в июле, за которыми последовали аналогичные пробелы в безопасности на сайте-конкуренте Verivox. Эти упущения должны были быть обнаружены во время рутинных проверок. Спикер CCC назвал это "небрежным обращением" с данными потребителей, утверждая, что 'брешь в безопасности' - это преуменьшение, так как данные были доступны через интернет без защиты.
На Check24 была найдена вторая уязвимость, требующая продвинутых технических знаний. Согласно Correctiv, данные клиентов вместе с ссылками для загрузки PDF-файлов, содержащих предложения о займах, отображались публично. "Эти файлы содержали детали, такие как имя пользователя, пол, контактные данные, дата рождения, гражданство, статус занятости, продолжительность работы на текущем месте работы, продолжительность проживания, доход домашнего хозяйства, историю займов, статус аренды, состав семьи и количество автомобилей. Дополнительные детали предложения о займе включали сумму займа, планы погашения и информацию о банковском счете, в том числе IBAN", - заявил CCC.
Обе компании были проинформированы об этом через CCC. Точная продолжительность утечки и количество пострадавших пользователей остаются неизвестными. Согласно Correctiv, Verivox мог потенциально подвергнуть риску наборы данных 75 000 человек. Однако эксперты не нашли доказательств того, что данные пострадавших пользователей были распространены, торговались или использовались для криминальных целей.
Инсайдер из CCC подчеркнул проблему "взломанного потенциала" из-за небрежного обращения с данными клиентов на платформах Check24 и Verivox. Причиной было отсутствие своевременного обнаружения и устранения уязвимостей, что делало данные легко доступными для потенциальных хакеров.
