Исследование безопасности: обнаружена небезопасная база данных компании Willow Pays
- Исследователь по вопросам безопасности выявил открытую онлайн-базу данных, принадлежащую Willow Pays.
- В базе содержалась конфиденциальная информация клиентов.
- Сейчас база защищена, но пользователям рекомендуется проявлять осторожность.
Платформа для оплаты счетов Willow Pays хранила обширную базу данных с чувствительной информацией о клиентах в интернете, доступную каждому, кто знал, где искать. Исследователь Джеремиах Фаулер, известный своими расследованиями неправильно настроенных и незащищенных паролем баз данных, сообщил о своем недавнем обнаружении более 240,000 записей.
«Внутри базы данных были папки, указывающие на счета, почтовые списки, несоответствия в учетных записях, графики погашения, скриншоты, настройки и снимки,» сообщил Фаулер. «При ограниченной выборке документов я увидел записи, включающие имена, электронные адреса, кредитные лимиты и другую внутреннюю информацию. Один из документов, представленный в виде электронной таблицы, содержал данные о 56,864 лицах, указывая на то, являются ли они потенциальными клиентами, активными пользователями или заблокированными аккаунтами.»
Пропущенные детали
Фаулер вскоре смог идентифицировать базу данных как принадлежащую Willow Pays, финансовой службе, которая помогает пользователям управлять их счетами, оплачивая их заранее. Эта услуга позволяет пользователям погашать сумму в четырех беспроцентных расчетах, облегчая контроль расходов. Она также поддерживает улучшение кредитной истории за счет своевременных выплат.
Фаулер связался с Willow Pays, и база данных вскоре была защищена. Однако компания не ответила на его электронные письма и не уточнила, ведет ли она базу самостоятельно или это поручено сторонней организации. Также остается неизвестным, как долго база данных оставалась незащищенной и получил ли кто-либо доступ к ней до Фаулера.
Неправильно настроенные базы данных остаются одной из наиболее распространенных причин утечек и разливов данных в интернете. Многие исследователи в области безопасности предупреждают, что компании зачастую неправильно понимают распределённую модель безопасности облачных провайдеров, слишком полагаясь на них, вместо того чтобы самостоятельно защищать свои активы.
Источник: TechRadar
