Saltar al contenido

Prestamista de dinero duro filtró datos personales de miles de clientes

03/11/2020

Este tipo de datos ha sido descubierto recientemente por investigadores de Tecnologardurante el análisis de seguridad regular. No se requirió nombre de usuario o contraseña para acceder a ella como si fuera una base de datos pública.

Otra instancia de MongoDB mal configurada era parte de la empresa de préstamos, Préstamos ancla, un gran actor en el sector de préstamos para inversiones inmobiliarias que ha originado más de 13 000 préstamos por un total de más de $ 3,7 mil millones. La empresa opera como un grupo hipotecario, invirtiendo directamente en escrituras fiduciarias y obteniendo ingresos de los intereses pagados por los prestatarios.

La base de datos contenía información confidencial como SSN, contraseñas, información del cónyuge (incluido el SSN), direcciones de correo electrónico, números de licencia de conducir, detalles financieros, incluido el salario e incluso el monto del extracto bancario.

Además, existían registros de detalles de transacciones y registros de comunicación con inversores.

Además, se requieren inicios de sesión y contraseñas para que los clientes autoricen los recursos web de Anchor Loans y enlaces indirectos a las copias escaneadas de los contratos.

Una vez que nuestros expertos encontraron esta información, nos contactamos con el representante de la empresa para informar sobre la violación de datos y ayudar a protegerla. Anchor Loan se apresuró a comunicarse con nosotros y actualmente se está llevando a cabo una investigación interna. La base de datos se había desconectado desde entonces.

Según Anchor Loan:

«Sin embargo, con base en lo que sabemos ahora, creemos que gran parte de la información estaba relacionada con datos de bienes raíces y transacciones de bienes raíces, algunos de los cuales están disponibles públicamente, y la gran mayoría de los cuales no es información confidencial de identificación personal de nuestros contactos. En este momento, hemos identificado aproximadamente 20,000 personas cuyos datos podrían haber sido expuestos, si alguno de estos datos hubiera sido copiado ilegalmente o accedido por cualquier otro tercero. Nuevamente, continuamos nuestra investigación y continuaremos refinando estos números.«.

Cualquier industria que trabaje con información confidencial, como banca y finanzas, debe tomar todas las medidas posibles para proteger los datos de sus clientes. Estatal y Federal requiere que esta información no solo se mantenga segura y privada, sino también que los prestatarios sean notificados de cualquier incumplimiento. Algunos estados incluso llegan a exigir la supervisión y reparación del crédito hasta por 3 años.

Como indica la empresa en el sitio web: “Las tarifas y los términos dependen de su aplicación. Cuanta más información proporciones, más opciones podremos ofrecerte ”. Se anima a los solicitantes a dejar más datos personales y, por tanto, convertirse en un objetivo atractivo para los atacantes.

Según Anchor Loans,

«Tan pronto como tengamos información suficiente para hacerlo, tomaremos todas las medidas necesarias para asegurarnos de que las personas que puedan haber sido afectadas estén debidamente informadas y para proporcionar información y recursos a cualquiera de nuestros contactos que tenga preguntas sobre la seguridad de su datos o nuestra respuesta a este incidente«.

Es necesario decir que si esos datos caen en manos malintencionadas, tanto los clientes actuales de la empresa como los posibles prestatarios corren el riesgo de que los estafadores hagan un uso indebido de las cuentas. Uno de esos casos fue detenido por la Comisión Federal de Comercio en Missouri. Según Jessica Rich, directora de la FTC Oficina de Protección al Consumidor, dos estafadores compraron información personal de los consumidores, hicieron préstamos de día de pago no autorizados y luego se ayudaron a sí mismos con las cuentas bancarias de los consumidores sin su autorización.

***

Atención: algunas partes de este artículo se pueden utilizar para su publicación si se hace referencia a ellas y se da crédito a TecnologarSecurity Research Center.

Esté atento a las últimas noticias sobre seguridad visitando el blog TecnologarSecurity Watch.