Dane i hasła ponad 260 tysięcy klientów wyciekły z polskiej firmy pożyczkowej

dodał 13 marca 2020 o 20:21 w kategorii Wpadki  z tagami:
Dane i hasła ponad 260 tysięcy klientów wyciekły z polskiej firmy pożyczkowej

Zostawienie w sieci otwartej bazy danych dla większości firm nie kończy się dobrze. Boleśnie mogą się przekonać o tym klienci firmy udzielającej pożyczki online MoneyMan.pl, których dane co najmniej dwukrotnie trafiły w cudze ręce.

Jaki jest najgorszy sposób zidentyfikowania incydentu? Na liście możliwości dość wysoko muszą znajdować się pozycje takie jak e-mail od obcej osoby, wpis na Twitterze, wiadomość od dziennikarza czy kontrola UODO. Firma ID Finance Poland, zarządzająca serwisem MoneyMan.pl, jest bliska odhaczenia wszystkich 4 możliwości naraz.

Zaczęło się od wpisu na Twitterze

Bob Diachenko, badacz zajmujący się bezpieczeństwem baz danych wystawionych do internetu i informowaniem ich właścicieli o problemach, napisał kilka dni temu o odkryciu kolejnej bazy, tym razem należącej do polskiej firmy pożyczkowej.

Tweet Boba

Co czekało w internecie

Odezwaliśmy się do Boba i otrzymaliśmy od niego informacje o incydencie. Bob 3 marca 2020 natrafił w sieci na serwer z ogólnodostępną bazą danych MongoDB. Gdy do niej zajrzał, znalazł dane klientów firmy MoneyMan. Próbował skontaktować się z firmą, lecz jego wiadomości pozostały bez odpowiedzi.

Na serwerze 92.223.88.91 znaleźć można było bazę pl-stat-collector, a w niej najwyraźniej dane ponad 200 tysięcy klientów (lub niedoszłych klientów) firmy MoneyMan. Struktura plików i danych wskazuje, że w bazie tej zapisywano dane z wniosków o pożyczkę, składanych za pomocą strony MoneyMan.pl. W danych znaleźć można między innymi:

  • imię i nazwisko
  • adres e-mail
  • PESEL
  • nr dowodu osobistego lub paszportu
  • hasło zapisane otwartym tekstem (!)
  • numer rachunku bankowego

Zaskakujący epilog i milczenie firmy

Bob policzył liczbę unikatowych adresów e-mail w bazie, na którą natrafił i otrzymał liczbę 266 611. To zdecydowanie nie wyglądało dobrze, więc pilnie odezwaliśmy się na adresy kontaktowe oraz IOD firmy IDF Finance. Niestety mimo dwukrotnej próby, podobnie jak Bob, nadal nie otrzymaliśmy żadnej odpowiedzi.

Historia ma jeszcze jeden epilog. 9 marca, kilka dni po tym, jak Bob zgłosił problem firmie, ktoś inny odkrył bazę danych, dane usunął, a w ich miejscu pozostawił komunikat o konieczności wpłacenia okupu w celu ich odzyskania…

Komunikat o okupie

Wiemy zatem, że:

  • kopię danych zdobył uczciwy badacz,
  • kopię danych zdobyli (lub mogli zdobyć) przestępcy,
  • firma wie o incydencie od 10 dni i dalej nie odpowiada na e-maile.

Pozostawimy to już bez komentarza.

Aktualizacja 2020-03-14

Nadal nie otrzymaliśmy żadnej odpowiedzi na nasze pytania, klienci nie otrzymali informacji o wycieku ich danych, lecz okazuje się, że dzisiaj MoneyMan zresetował hasło wszystkim użytkownikom i wysłał im w związku z tym SMS-y z nowymi hasłami.

Wiadomość o resecie hasła

Jeśli ktoś zaloguje się i zmieni sobie hasło na stronie, to może także… otrzymać swoje nowe hasło e-mailem. To zdecydowanie nie jest dobra praktyka.

Wiadomość email

Co powinny zrobić osoby, które otrzymały SMS-a

Wszystkim klientom MoneyMana polecamy telefon lub e-mail na infolinię z pytaniem, dlaczego firma zresetowała im hasło – może w końcu firma przyzna się do incydentu… Jednocześnie nie sądzimy, że trzeba już na tym etapie zastrzegać dowody, nie mamy powodów sądzić, że dane klientów trafiły w ręce przestępców, którzy chcieliby np. brać na was pożyczki. Zalecamy jednak czujność i odbieranie poleconych.

Aktualizacja 2020-03-16

Jeden z czytelników otrzymał od firmy MoneyMan taką oto odpowiedź:

Szanowna Pani/Szanowny Panie,

Informujemy, że Pani/Pana dane osobowe zapisane na koncie użytkownika założonym za pośrednictwem strony internetowej http://www.moneyman.pl zostały ujawnione osobie trzeciej na skutek błędu pracownika podmiotu, któremu MoneyMan powierzył przetwarzanie Pani/Pana danych osobowych. Błąd ten polegał na braku zabezpieczenia Pani/Pana danych w okresie od dnia 03 marca br. do dnia 14 marca br. przez podmiot współpracujący z MoneyMan.

Jeśli nie zakładała Pani/nie zakładał Pan konta za pośrednictwem strony internetowej http://www.moneyman.pl prosimy o pominięcie niniejszej wiadomości.

Zakres danych osobowych, które mogły zostać ujawnione

Zakres danych osobowych objętych nieuprawnionym dostępem obejmuje: imię, nazwisko, PESEL, serię i numer dokumentu tożsamości, NIP, obywatelstwo, miejsce urodzenia, numer rachunku bankowego, adres korespondencyjny, adres zameldowania, adres e-mail, numer telefonu stacjonarnego, numer telefonu komórkowego, poprzedni numer telefonu komórkowego (jeśli uległ zmianie), numer telefonu pracodawcy, adres e-mail osoby, której klient rekomendował pożyczkę (jeśli rekomendował), nazwę pracodawcy, zatrudnienie (rodzaj umowy), przychód miesięczny netto, źródło przychodu, ilość osób na pozostających utrzymaniu, stan cywilny, wykształcenie, hasło do profilu klienta na moneyman.pl.

Jeżeli którekolwiek z tych danych nie zostały przez Panią/Pana podane w trakcie zakładania konta użytkownika lub w okresie późniejszym, dane te nie zostały objęte potencjalnym ujawnieniem.

Opis przewidywanych konsekwencji i zagrożeń związanych z ujawnieniem Pani/Pana danych osobowych oraz środków proponowanych w celu minimalizacji negatywnych skutków związanych z naruszeniem

Podstawowym skutkiem ujawnienia powyższych danych osobowych może być podjęcie przez osobę nieuprawnioną próby zaciągnięcia kredytu lub pożyczki w Pani/Pana imieniu. Niemniej, sytuacja taka jest mało prawdopodobna, ponieważ zarówno banki, jak i instytucje pożyczkowe obowiązane są zgodnie z prawem do weryfikowania danych swoich klientów, a więc podejmują kroki mające na celu niezależne potwierdzenie zgodności danych przekazanych przez osobę podającą się za klienta, z informacjami znajdującymi się na okazanym dowodzie tożsamości lub innymi informacjami pochodzącymi z niezależnych i wiarygodnych źródeł.

W przypadku, gdyby uzyskała Pani informację o próbie zaciągnięcia kredytu lub pożyczki w Pani/Pana imieniu przez inną osobę, niezbędne będzie zastrzeżenie dowodu osobistego w banku, który prowadzi Pani/Pana rachunek bankowy lub za pośrednictwem Biura Informacji Kredytowej S.A. po założeniu konta na stronie internetowej tej instytucji oraz zgłoszenie tego faktu na policję. Istnieje również możliwość skorzystania za pośrednictwem strony internetowej Biura Informacji Kredytowej S.A. z usługi alertów informujących (z wykorzystaniem wiadomości SMS lub e-mail) o każdej próbie zaciągnięcia kredytu lub pożyczki z wykorzystaniem Pani/Pana danych, w przypadku gdy przed udzieleniem takiego kredytu lub pożyczki Pani/Pana zdolność będzie sprawdzana w oparciu o dane posiadane przez tę instytucję. W związku z naruszeniem poufności Pani/Pana danych, o którym informowaliśmy, prosimy o zachowanie ostrożności przy przekazywaniu przez Panią/Pana danych innym osobom w sposób zdalny.

Innymi skutkami związanymi z przedmiotowym naruszeniem może być: (i) wykorzystanie Pani/Pana danych w związku z próbą uzyskania dostępu do środków na rachunkach bankowych, (ii) skorzystanie przez osoby trzecie z przysługujących Pani/Panu świadczeń opieki zdrowotnej oraz dostępu do informacji o stanie zdrowia, (iii) wykorzystanie Pani/Pana danych w związku z próbą skorzystania z niektórych praw obywatelskich, (iv) podjęcie próby oszustwa związanego z zawarciem umowy ubezpieczenia lub wyłudzeniem środków w ramach zawartej umowy ubezpieczenia, (v) zarejestrowanie karty przedpłaconej z wykorzystaniem Pani/Pana danych lub (vi) próba zawarcia umów dotyczących usług telekomunikacyjnych czy innych podobnych usług.

W związku z powyższym informujemy, że w przypadku uzasadnionego podejrzenia zaistnienia sytuacji określonej powyżej należy powiadomić policję oraz we właściwych przypadkach podmioty, z którymi osoba nieuprawniona zawarła lub próbowała zawrzeć umowę wykorzystując Pani/Pana dane osobowe. Należy również zachować szczególną ostrożność w przypadku skontaktowania się z Panią/ Panem przez osoby trzecie w związku z potwierdzeniem lub próbą uzyskania dalszych danych osobowych przez takie osoby.

Kroki podjęte przez nas w celu zaradzenia naruszeniu ochrony danych osobowych

Niezwłocznie przeprowadziliśmy zmianę haseł umożliwiających zalogowanie się do konta każdego klienta. O zmianie została Pani/został Pan poinformowany w wysłanych wiadomościach SMS oraz e-mail.

Ponadto, przywróciliśmy prawidłowe działanie zabezpieczeń chroniących dostęp do Pani/Pana danych osobowych.

Możliwość uzyskania dalszych informacji

W razie jakichkolwiek pytań lub wątpliwości może Pani/Pan skontaktować się z nami:

– pod adresami e-mail [email protected],
– telefonicznie pod numerem tel. 221-220-221 (infolinia czynna od poniedziałku do piątku w godzinach 8:00 – 18:00, koszt połączenia zgodnie z taryfą operatora),
– a także listownie pisząc na adres ID Finance Poland sp. z o. o., ul. Hrubieszowska 6A, 01-209 Warszawa.

Zgłoszenie naruszenia danych osobowych Prezesowi Urzędu Ochrony Danych Osobowych

Zgodnie z obowiązującymi przepisami, zgłosiliśmy fakt naruszenia ochrony danych osobowych Prezesowi Urzędu Ochrony Danych Osobowych w dniu, w którym stwierdziliśmy zaistnienie tego naruszenia, tj. w dniu 14 marca br.

Pragniemy zapewnić, że dokładamy wszelkiej staranności, aby dane osobowe naszych Klientów były zawsze przetwarzane w sposób gwarantujący ich bezpieczeństwo. Stwierdzony incydent miał charakter jednorazowy i wynikał wyłącznie z niezamierzonego błędu pracownika. Pragniemy najmocniej przeprosić za zaistniałą sytuację.

Z wyrazami szacunku,
ID Finance Poland sp. z o. o.


Cieszymy się, ze firma w końcu (!) ma oficjalne stanowisko w tej sprawie, chociaż:

  • nie opublikowała go na swojej stronie ani w mediach w społecznościowych,
  • do tej pory nie wysłała go wszystkim klientom, których dane zostały ujawnione,
  • w treści twierdzi, że o naruszeniu dowiedziała się 14 marca, podczas gdy 3 marca otrzymała o nim informację od odkrywcy problemu, my wysyłaliśmy nasze pytania 12 i 13 marca, a 13 marca wiedział już o tym cały internet (po publikacji tego właśnie artykułu).

Nie jest to dobry przykład jak należy reagować na incydenty bezpieczeństwa.

Interesują Cię takie historie?
Bilety są już dostępne! Na naszej konferencji Oh My [email protected] na pewno nie zabraknie opowieści o wyciekach, atakach na polskich internautów i ściganiu cyberprzestępców. Pod koniec roku powinno być już po wirusie, więc kup bilet, dopóki ceny nie wzrosły – tak tanio już nie będzie!