Instant loan 应用程序泄露了近 3000 万个包含用户数据的文件
贷款申请人的私人信息宝库(包括国民身份证和账户对账单)没有得到保护,危及用户的账户。
9 月 16 日,Cybernews 研究团队在属于孟买金融科技公司 FatakPay 的 Amazon AWS S3 存储桶中发现了一个配置错误。
该公司通过其应用程序向个人提供即时贷款,该应用程序在 Google Play 商店的下载量已超过 100 万次。
该公司配置错误的存储桶没有密码,互联网上的任何人都可以公开访问。该文件夹内存储了超过 2700 万个文件,其中包含敏感的贷款申请人数据,包括了解您的客户 (KYC) 文件。
泄露文件的数量。截图来自 Cybernews
泄露了什么?
- 全名
- 家庭住址
- 电子邮件地址
- 电话号码
- 身份证复印件
- 贷款协议
- 账户对账单
- 填写的贷款申请
- 用于验证的用户自拍
- PAN,由印度所得税部门颁发的 10 个字符的字母数字标识符
- Aadhar,这是印度唯一身份识别局 (UIDAI) 向印度居民颁发的 12 位唯一身份证号码。
- 信用评分报告(CRIF 和 CIBIL)
Cybernews 多次联系该公司,以确保数据访问得到保护。此后,该公司关闭了这个桶。尚未收到官方评论。
泄露的 KYC 文件危及贷款寻求者
金融机构和金融科技平台需要 KYC 来识别用户并确保遵守法律法规。身份证明包括提供政府签发的身份证件,例如护照、驾照或国民身份证。该过程还包括自拍并持有 ID 以验证它是否属于正在验证的个人。
通过访问暴露的 KYC 文件,恶意行为者可以通过身份盗窃、冒充和金融欺诈来威胁毫无戒心的受害者。
同时,泄露其他敏感细节,例如 PAN 和 Aadhaar 号码,会增加印度个人身份被盗的风险。
泄露的数据。截图来自 Cybernews
网络犯罪分子可能会冒充他们贷款、申请信用卡和访问银行账户,使受害者背负从未贷款的债务,从而加剧受害者的情感和经济损失。
身份盗窃通常会严重损害受害者的信用评分,使未来的贷款申请和获得优惠利率变得复杂。重建信用可能漫长而紧张。
从网络钓鱼攻击到人身危险
身份盗窃并不是数据泄露受害者面临的唯一风险。泄露的个人详细信息通常使攻击者能够进行网络钓鱼攻击。网络犯罪分子可能会使用姓名、电子邮件地址、电话号码和其他财务信息来制作令人信服的电子邮件或文本,冒充合法实体(例如银行),诱骗受害者分享敏感信息或向诈骗者汇款。
暴露家庭住址会显著增加个人人身安全的风险。例如,犯罪分子可以利用这些数据来定位和瞄准受害者,以实现各种恶意目的,例如跟踪、骚扰或入室盗窃。
人肉搜索或未经授权暴露个人信息是另一个严重威胁,因为网络犯罪分子(也称为“人肉搜索者”)不断在互联网上搜索可能用于推进其财务或个人议程的材料。
披露时间表
发现: 9 月 16 日
初步披露:10 月 15 日
多次跟进电子邮件:10 月 22 日、29 日、11 月 5 日、12 日、26 日、12 月 3 日。
关闭时间:12 月 5 日
参考链接:https://cybernews.com/security/fatak-pay-data-leak/
