数百款小额贷款APP将高达899GB的个人数据托管在开放的数据库集群中

在申请贷款时多数贷款平台会要求用户提供诸如身份证、手机号码、定位、通讯录、银行卡信息甚至征信等。

这些数据被用于评估贷款申请者的信用并决定是否发放贷款等,显然这些数据具有高度的隐私性不应被泄露。

但是国内小额贷款市场目前比较混乱甚至还有较多的套路贷现象,这也是各地警方正在严厉打击的犯罪行为。

无论是正规贷款还是套路贷都会要求用户提供非常详细的信息,当然表面上他们说这些数据会被严格保护的。

实际人家才不管你的数据安全:

日前有研究人员发现在阿里云平台有个公开的数据库集群,这个数据库集群合计存储约 899 GB 的贷款数据。

拥有这些数据库集群的公司租用阿里云提供的服务器存储这些数据,但是压根没有做最基础的安全防护措施。

这些数据包括用户的IP地址、使用App的时间、日志、短信记录、已安装的其他App以及其他关键的数据等。

关键数据就是文章开头提到的银行卡、信用卡、实时定位、贷款记录、跟踪数据、用户账号密码和通话清单。

数据涉及的用户可能有460 万多名,因为这些数据是来自460 万台移动设备提交的,当然也包括用户提交的。

App包名称:com.caima.youyidai

最终还是阿里云出手将数据库下线的:

虽然数据量非常庞大并且含有百万级别的用户私密信息,但研究人员无法在数据库里找到任何所有者的信息。

于是研究人员只能联系阿里云安全团队对该数据库进行处理,最终暴露两周后数据库被阿里云安全团队下线。

值得注意的是这年头竟然还有公司使用MD5算法对数据进行加密 , 这种过时的加密算法极易被黑客暴力破解。

目前尚不清楚这个数据库到底是哪个贷款公司持有的,当然也不清楚这些数据是否已经被其他人完整的下载。

本文来源 BleepingComputer,由 山外的鸭子哥 整理编辑,其版权均为 BleepingComputer 所有,文章内容系作者个人观点,不代表 蓝点网 对观点赞同或支持。如需转载,请注明文章来源。
1

评论:

3 条评论,访客:3 条,站长:0 条
  1. 道
    发布于: 
    QQbrowser QQbrowser Android 9 Android 9

    阿里云有责任提供该服务器租用公司信息,保障贷款人权益,

  2. fudashuai
    fudashuai发布于: 
    Maxthon 5.2.7.5000 Maxthon 5.2.7.5000 Windows 10 64位版 Windows 10 64位版

    哇!危险性倍增啊!

发表评论