Крупнейшая цифровая компания по выдаче займов допустила сбой в безопасности, поставив под угрозу данные 36 миллионов пользователей

Компания по выдаче кредитов Vivifi, вероятно, подверглась утечке данных. Около 36 миллионов файлов оказались доступны из-за неправильной настройки Amazon AWS S3 bucket без аутентификации. Исследователи Cybernews обнаружили, что компания Vivifi оставила открытыми онлайн документы Know Your Customer (KYC) для 36 миллионов файлов.

Основной риск после утечки данных заключается в том, что преступники могут использовать ваши данные для подачи заявок на кредитные карты, займы или банковские счета в рамках мошеннических схем. В данном случае, компания по выдаче займов, которая имеет доступ к информации клиентов, делает её уязвимой для киберпреступников.

В утечке были представлены паспорта, удостоверения личности, водительские права, счета за коммунальные услуги, выписки из банков и соглашения о займах. Вот что нам известно на данный момент:

Продолжающееся расследование

Исследователи обнаружили утечку 28 ноября 2024 года, а бакет AWS S3 был закрыт только 16 января 2025 года. Это означало, что преступники имели более месяца времени для поиска и доступа к данным — хотя пока нет доказательств того, что кто-то воспользовался этой возможностью. Только внутренний фронтенд аудит может определить это.

Documents Know Your Customer (KYC) используют финансовые учреждения для соблюдения регулятивных требований и проверки личности, адреса проживания и дохода клиента. К сожалению, именно эти данные могут быть использованы киберпреступниками для подачи заявок на займы от имени жертвы или для организации особенно убедительных атак социальной инженерии.

«Например, злоумышленники могут использовать утекшие детали соглашений о займах или банковские данные для запроса срочных платежей или верификации счетов», — отметили исследователи Cybernews. «В некоторых случаях эти личные данные можно объединить и продать на теневом интернете, что еще больше усложняет задачу жертвам по защите своих данных».

Когда PII подвергается утечке, всегда есть риск социальной инженерии и фишинговых атак. Преступники могут использовать данные из утечки для определения услуг, которые вы обычно используете, ваших интересов или даже данных о друзьях и семье.

Важные шаги для защиты

• Следите за своими банковскими выписками и транзакциями.
• Используйте сильные пароли — меняйте их при обнаружении утечки данных.
• Включите двухфакторную аутентификацию (MFA) для аккаунтов с чувствительными данными.

Будьте внимательны и осторожны, чтобы избежать возможных последствий утечек данных!