Исследователи обнаружили, что платформа криптовалютных кредитов YouHodler оставила миллионы записей в свободном доступе, содержащих частные финансовые данные тысяч пользователей.
В своем блоге vpnMentor сообщает, что его исследовательская группа во главе с Ноамом Ротемом и Раном Локаром обнаружила утечку базы данных в рамках своего проекта веб-картографирования и проследила ее до YouHodler.
Полученные данные содержат более 86 миллионов записей, которые включают имена пользователей, адреса электронной почты, домашние адреса, номера телефонов и дни рождения. И даже хуже: номера кредитных карт, номера CVV, банковские реквизиты и адреса крипто-кошельков также были указаны среди данных.
Компания VpnMentor 22 июля связалась с YouHodler, которая ответила днем позже и исправила проблему.
На сайте YouHodler указано, что компания обслужила более 3'500 клиентов и предоставила займы на сумму более 10 миллионов долларов. В своем собственном сообщении в блоге о нарушении YouHodler заявила, что открытые файлы «не содержат никакой конфиденциальной информации, и никто не пострадал».
Однако первая часть этого заявления противоречит выводам исследователей. Ротем и Локар предоставили скриншоты данных (с частями, скрытыми для сокрытия пользовательских данных), которые, кажется, подтверждают утверждение, что им удалось найти CCV (верхнее изображение) и номера карт (нижнее изображение) в журналах.
Команда рассказала: «Первый пример показывает, что мы все еще нашли все детали, необходимые для полного контроля над картой, включая номера CVV». Они добавили, что, хотя имя владельца карты не отображается ни в одном из этих журналов, «во многих других записях хранятся как имена, так и номера кредитных карт».
Читайте по теме: QuickBit допустила утечку данных 300'000 пользователей
Кроме того, исследователи обнаружили данные, позволяющие им связывать имена пользователей с адресами биткоин-кошельков. По словам vpnMentor:
Характер данных, которые просочились из базы данных YouHodler, может иметь серьезные последствия. Любая платформа, которая хранит данные кредитной карты, должна принимать несколько мер безопасности. Если бы YouHodler сохранял только БИН и последние четыре цифры пользовательских кредитных карт, это не оказало бы такого влияния.
YouHodler сообщает, что «пользовательские данные потенциально могут быть скомпрометированы извне платформы», продолжая: «Мы делаем все возможное, чтобы этого не произошло, внедряя двухфакторную аутентификацию и проверку электронной почты. Мы уверены, что все параметры безопасности проверены и обновлены, и в наших системах нет уязвимостей».
Источник: AltStake
Самые актуальные новости - в 
