АНАЛИТИКА

Международные новости утечек информации, ежегодные аналитические отчеты и статистика по инцидентам за прошедшие годы.

25 февраля 2021

Данные миллионов пользователей сервиса рассрочек выставили на продажу

Персональные данные более 3,3 млн пользователей приложения Cashalo из Филиппин продаются в даркнете, передает портал KrAsia.

Cashalo – сервис типа «Купи сейчас, заплати позже» (Buy now, pay later lending, (BNPL), позволяющий пользователям приобретать товары в рассрочку. Сервис принадлежит финтех-компании Oriente из Гонконга. Недавно Филиппинская национальная комиссия по вопросам конфиденциальности (National Privacy Comission, NPC) сообщила, что на подпольных форумах cybleinc.com и RaidForums продаются данные пользователей этого приложения.

Согласно заявлению NPC, неизвестный под псевдонимом «creepxploit» предлагает личную информацию более 3,3 млн подписчиков Cashalo, включая их имена, пароли, адреса электронной почты, номера телефонов, а также идентификаторы устройств. Потенциальным покупателям продавец готов предоставить тестовый образец записей. Как выяснили журналисты KrAsia, по состоянию на вторник, 23 февраля, актуальным оставалось только одно объявление – на форуме cybleinc.com.

В NPC полагают, что данные были получены злоумышленником из базы данных Cashalo. Регулятор начал расследование предполагаемого взлома приложения вскоре после того, как представители Oriente в пятницу, 19 февраля, проинформировали государство об инциденте, который привел к похищению данных из хранилища.

Cashalo заявляет, что отключил систему, которая подверглась кибератаке. При этом в компании уверены, что никакие учетные данные или пароли не могли быть скомпрометированы, поскольку они зашифрованы.

Приложения типа BNPL и сервисы по предоставлению быстрых кредитов уже давно находятся в поле зрения NPC. Филиппинский информационный регулятор считает, что некоторые из них обеспечивают довольно слабый уровень защищенности конфиденциальной информации. В 2019 г. комиссия даже решила закрыть 26 компаний в сфере онлайн-кредитования, получив многочисленные обращения клиентов, где они жаловались на то, что финансовые сервисы незаконно получают доступ к их спискам контактов. В дальнейшем NPC выпустил циркуляр, в котором прямо запрещает кредитным приложениям собирать такую личную информацию, как номера из телефонных справочников и контактные данные из соцсетей. Эти данные могут использоваться для назойливых звонков потенциальным заемщикам.

Подпишитесь на рассылку INFOWATCH