Eine ElasticSearch-Serverinstanz, die ohne Passwort im Internet offen gelassen wurde, enthielt sensible Finanzinformationen über Kredite von indischen und afrikanischen Finanzdienstleistern.
Das Leck, das von Forschern des Informationssicherheitsunternehmens UpGuard entdeckt wurde, war 5,8 GB groß und bestand aus insgesamt 1.686.363 Datensätzen.
„Diese Datensätze enthielten persönliche Informationen wie Name, Kreditbetrag, Geburtsdatum, Kontonummer und mehr“, so UpGuard in einem Bericht, der The Hacker News vorliegt. „Insgesamt waren 48.043 eindeutige E-Mail-Adressen in der Sammlung enthalten, von denen einige für die Produktadministratoren, Firmenkunden und Inkassobeauftragten bestimmt waren, die den einzelnen Fällen zugeordnet waren.
Die exponierte Instanz, die als Datenspeicher für eine Inkassoplattform namens ENCollect verwendet wird, wurde am 16. Februar 2022 entdeckt. Nach dem Eingreifen des indischen Computer Emergency Response Teams (CERT-In) wurde der undichte Server am 28. Februar für die Öffentlichkeit unzugänglich gemacht.
ENCollect wird als die „beste Inkasso-App der Welt“ bezeichnet, mit der Inkassobüros Kreditzahlungen verfolgen, rechtliche Schritte einleiten und Methoden für die Verwaltung von Zahlungsrückständen, die Begleichung von Forderungen und die Rücknahme von Forderungen anbieten können.
Laut UpGuard stammten die Kredite von Kreditanbietern wie Lendingkart, IndiaLends, Shubh Loans (MyShubhLife), Centrum, Rosabo und Accion.
Außerdem umfasste der Datensatz 114.747 Postadressen, 105.974 Telefonnummern und 157.403 Kreditbeträge. Eine Untergruppe dieser Datensätze enthielt auch zusätzliche Informationen wie Kontaktdaten von Mitantragstellern, Familienmitgliedern und anderen persönlichen Referenzen.
„Einige Datensätze enthielten überfällige Beträge, die Art und Dauer des Kredits sowie interne Notizen von Mitarbeitern des Inkassobüros über die Rückzahlung von Krediten“, so UpGuard.
Auch wenn der fehlkonfigurierte Server gesichert wurde, besteht immer die Möglichkeit, dass jemand mit böswilligen Absichten die Informationen nutzt, um Nutzer/innen im Rahmen von Betrugs- oder Erpressungsversuchen anzusprechen und sich sogar als Krediteintreiber/innen auszugeben, um Kreditnehmer/innen anzusprechen.
„Die Digitalisierung von Finanzdienstleistungen bietet viele Möglichkeiten, Prozesse wie das Inkasso effizienter zu gestalten, birgt aber auch unerwartete Risiken in der Lieferkette“, so die Forscher. „Anbieterlösungen bergen auch das Risiko von Mehrparteienrisiken, wenn ihre Datensätze von mehreren Kunden stammen, wie in diesem Fall“.