ქართული მიკროსაფინანსო ორგანიზაციის ბაზა საჯაროდ იყო ხელმისაწვდომი

კიბერ უსაფრთხოების მკვლევარმა ბობ დიაჩენკომ აღმოაჩინა, რომ ქართული მიკროსაფინანსო ორგანიზაციის Credia.ge-ს კუთვნილი მომხმარებელთა ბაზა საჯაროდ იყო ხელმისაწვდომი. საქმე ეხება კომპანიის მიერ Elasticsearch-ის არასწორ კონფიგურაციას, რამაც 142 571 მომხმარებლის პერსონალური და ფინანსური მონაცემები საჯარო გახადა (2გბ მოცულობის ბაზა). მონაცემები მოიცავდა შემდეგს: იუზერნეიმი, მისამართი, დაბადების თარიღი, პასპორტის/პირადობის ნომერი, იმეილი, სესხის ოდენობა, საგადასახადო კოდი, ბანკის IBAN ნომერი, უნიქარდის ID და სესხის სტატუსი (დამტკიცებული ან უარყოფილი).


მონაცემები ხელმისაწვდომი იყო საძიებო სისტემა shodan.io-ს მეშვეობით. კომპანიას მთელი კვირის განმავლობაში (2-9 აგვისტო) ყურადღება არ მიუქცევია მკვლევარის მიერ გაგზავნილი წერილისთვის. რის შემდეგაც ბობ დიაჩენკო დაუკავშირდა ქართულ CERT-ს. ამის შემდეგ ბაზა იმავე დღეს უკვე აღარ იძებნებოდა.

Shodan-ის ჩანაწერები აჩვენებს, რომ მონაცემები აქ პირველად ხელმისაწვდომი ჯერ კიდევ 2018 წლის სექტემბერში გახდა. უცნობია მკველვარის გარდა ვინმეს ჰქონდა თუ არა აღმოჩენილი ეს მონაცემები, თუმცა იქვე იყო readme ფაილი, რომელშიც მონაცემების სანაცვლოდ 0.1 ბიტკოინი იყო მოთოვნილი.


აღსანიშნავია, რომ Credia.ge-მ მიმდინარე წლის ივნისში ლიკვიდაციის პროცესი დაიწყო.

 

კიბერჰაუსმა პერსონალურ და ფინანსურ მონაცემთა გაჟონვის ფაქტთან დაკავშირებით კითხვით მიმართა სახელმწიფო ინსპექტორის სამსახურს (ყოფილი „პერსონალურ მონაცემთა დაცვის ინსპექტორის აპარატი“). სახელმწიფო ინსპექტორის სამსახურის წარმომადგენლის განცხადების თანახმად: „ credia.ge-სთან დაკავშირებით გეტყვით, რომ საქმის შესწავლა დაწყებულია და კომპანიისგან გამოთხოვილია ინფორმაცია. შესწავლის დასრულებამდე დამატებითი დეტალების შესახებ ინფორმაციის მოწოდება გაგვიჭირდება.