En kanadensisk bolånemäklares databas med personuppgifter om tusentals människor har lämnats öppen på internet, säger säkerhetsforskare.
Tillgång till Toronto-ägd databas 8Tolv finansiella teknologier begränsades snabbt efter att företaget tipsades av forskaren Jeremy Folwer och personalen på Website Planet, som erbjuder resurser för webbplatsbyggare.
Enligt en rapport som släpptes idag, databasen innehåller 717 814 poster på tusentals kanadensiska invånare, med bolåneinformation inklusive namn, telefonnummer, e-postadresser, fysiska adresser och mer. Många poster verkade vara hypotekslån från människor som ville köpa ett hem, refinansiera, få en aktiekredit eller köpa en investeringsfastighet, sa rapporten.
“Vi skickade omedelbart ett meddelande om ansvarsfullt avslöjande och 8Twelve agerade snabbt och professionellt och begränsade allmänhetens tillgång inom några timmar efter vår upptäckt”, säger forskarna.
ITWorldCanada skickade ett mejl till 8Twelve Financials marknadschef, Rick McLaughlin, och begärde en intervju med en chef för att förklara hur händelsen inträffade. Inget svar hade inkommit vid presstid.
Företaget har två verksamhetsgrenar: 8Twelve Mortgage for hypotekslån, som, enligt företagets webbplats, förhandlar med 65 långivare för att hitta de bästa bolåneräntorna i North York-området i Toronto; och 8T Capital, som erbjuder kortfristiga lån.
Detta uppenbara brott mot säkerhetskontroller är bara det senaste i en serie företagsdatabaser som hittats oskyddade på Internet. Ofta laddas dessa felkonfigurerade filer upp till molnlagringssajter som Amazon AWS, där skaparna lägger dem tillfälligt eller har för avsikt att göra någon dataanalys och sedan glömmer att lösenordsskydda filerna eller spara dem. Se till att de inte är anslutna till allmänheten. Internet.
En SecurityTrails-leverantörsblogg Observera att några av de vanligaste databasfelen involverar användningen av Elasticsearch, en databas för att lagra och analysera stora mängder data. Elasticsearch binder endast till localhost som standard, noterar artikeln, vilket är tillräckligt säkert. Men, tillägger han, för att göra Elasticsearch användbart i en organisation gör databasadministratörer ofta misstaget att knyta Elasticsearch till det offentliga nätverksgränssnittet utan brandvägg.
Ett bra verktyg för att hitta exponerade databaser är sökmotorn Shodan, som hittar allt som är kopplat till Internet. Som noterats i en artikel från 2017 om Exposed Databases in Wired, om du vill hitta alla MongoDB-databaser anslutna till det offentliga internet, skriv bara “MongoDB” i Shodan. Inte alla databaser som hittas kommer att innehålla känslig personlig information, men vissa kanske.
Enligt Website Planet innehöll databasen:
- 717 814 poster. Databasen innehöll en mapp med namnet “sökande” och fem mappar med namnet “request”;
- kandidatnamn, e-post, jobb, hem och mobiltelefonnummer. Vissa poster innehöll fysiska, delstats- eller provinsadresser. Eftersom det mesta av uppgifterna kan hänföra sig till en specifik individ, kan uppgifterna som finns i registren betraktas som personligt identifierbar information (PII);
- i ett slumpmässigt urval av 10 000 poster gav termen “e-post” 18 382 resultat. Varje post som visades innehöll två e-postadresser; en tillhörande sökanden åtföljd av en korrespondent till 8Twelve-ombudet som har anförtrotts ledningen. Nästan alla populära e-posttjänster dök upp i uppgifterna, inklusive Gmail (13 695 resultat) och Yahoo (3 406), tillsammans med Outlook, iCloud, AOL och ett mindre antal av flera andra e-postleverantörer.
- Hypotekslån från flera kanadensiska provinser samlades i flera filer märkta “Prod” (som vi tror betyder “produktion”). Dokumenten verkade indikera var leads kom ifrån: Facebook-annonser, hänvisningar, webbplats etc.
- information tillhandahållen av sökande om sin egen ekonomiska situation, i form av deras kreditpoäng, konkurs, besparingar, ekonomi och andra uppgifter för att starta låneansökningsprocessen. För kreditupplysningsändamål kan bolånehandläggare behöva fastställa en sökandes kreditvärdighet genom att avslöja ovanstående finansiella information till en oberoende kreditupplysningsbyrå eller annan källa.
- journalen inkluderade också 8 tolv anställdas namn, e-postadresser och interna anteckningar om lånet eller prospektet, som indikerar huruvida sökanden var kreditvärdig eller inte.
Det är inte känt hur länge den oskyddade databasen har varit öppen på Internet.