科技魔方

美国逾2400万份银行贷款和抵押贷款文件被泄露到网上

网络产品

2019年01月24日

   据外媒报道,在一台服务器出现错误后,超过2400万份金融和银行文件在网上被发现。这些文件显示了美国一些最大银行的数万笔贷款和抵押贷款信息。

  这台运行ElasticSearch数据库的服务器拥有超过十年的数据,其中包括贷款和抵押贷款协议、还款时间表以及其他高度敏感的金融和税务文件。这些文件透露了个人财务生活的具体信息。

  但是它没有密码保护,任何人都可以访问和读取其中大量的信息。

  据信,该数据库只暴露了两周,但这个时间已足够让独立安全研究员鲍勃-迪亚琴科(Bob Diachenko)查看到了这些文件。乍一看,你无法立即知道谁拥有这些数据。在我们询问了几家银行后,该数据库于1月15日关闭。

  这次泄密可以追溯到为金融行业服务的数据和分析公司Ascension。该公司的总部设在得克萨斯州的沃思堡。该公司提供数据分析和投资组合估值。在它的服务中,Ascension将纸质文件和手写笔记转换成计算机可读的文件——被称为OCR文件。

  迪亚琴科在自己的书面报告中说,被曝光的文件正是那家银行的被转换后的OCR文件。

  Ascension的母公司Roc.hk Partners拥有总价值44亿美元的4.6万多笔贷款。该公司总法律顾问桑迪-坎贝尔(SandyCampbell)证实了这起安全入侵事件,但表示该公司的系统没有受到影响。

  他在一份声明中说:“1月15日,该供应商得知一台服务器出现配置错误,可能导致了一些抵押贷款文件曝光。因此,它立即关闭了有问题的服务器。我们正在与第三方取证专家合作调查这一情况。随着调查的进行,我们还与执法调查人员和技术合作伙伴保持定期联系。”

  该声明还补充说,未指明的部分贷款信息已被分享给合同商进行分析,但无法立即证实有多少贷款文件被泄露。

  该供应商是总部设在纽约的OpticsML公司。记者联系该公司的努力没有成功。其网站处于离线状态,其电话号码也打不通。

  坎贝尔在电话中确认,该公司将通知所有受影响的客户,并根据数据泄露通知法向州监管机构报告这一事件。

  涉及数家主要金融和贷款机构

  从我们的审查中可以清楚地看出,这些文件涉及几家主要金融和贷款机构的贷款和抵押贷款信息以及其他往来信函。这些文件可以追溯到2008年,如果不是更久的话。其中包括花旗金融、汇丰人寿、富国银行、CapitalOne和一些美国联邦政府部门(包括住房和城市发展部)的文件。花旗金融是花旗集团旗下一个现已倒闭的贷款金融部门。

  其中一些公司在将其抵押贷款部门和资产出售给其他公司后,早已停业。

  虽然不是所有的文件都包含高度敏感的个人数据,但我们发现:姓名、地址、出生日期、社会保障号码、银行账号和支票账号,以及包含敏感财务信息的贷款协议信息,例如个人申请贷款的原因。

  一些文件还指出了某些个人是否申请了破产和税务文件,包括年度W-2税表。这些信息很容易被骗子用来要求虚假退款。

  但迪亚琴科说,该数据库以随机顺序存储文档,不容易以易于阅读的方式呈现,因此很难从一份文档跟踪到另一份文档。

  我们利用公共记录档案数据库中的信息来验证这些文件数据的真实性。

  “网络犯罪分子的金矿”

  迪亚琴科说:“这些文件包含高度敏感的数据,如社会保障号码、姓名、电话、地址、信用记录和其他细节,这些信息通常是抵押贷款或信用报告的一部分。这些信息将成为网络犯罪分子的金矿。他们将拥有窃取身份、提交虚假纳税申报表、获得贷款或信用卡所需的一切有用信息。”

  尽管这些文件来自这些金融机构,但帮助确保数据安全的花旗银行表示,它目前与该公司没有关系。

  花旗的一位发言人表示:“花旗最近意识到,一个与花旗没有联系的第三方公司在一个不安全的在线环境中存储了某些抵押贷款原始文件和修改文件。这些文件包含有关花旗现任或前任客户以及其他金融机构客户的信息。花旗通知了执法部门,启动了彻底的调查,并迅速采取行动,以确保这些信息不再被公开获取。”

  花旗证实,“我们没有发现任何证据表明花旗的系统受到了安全入侵。”

  该银行补充说,它正在努力识别潜在的受影响客户。

  其他数十家公司也受到影响,包括规模较小的地区银行和大型跨国公司。

  富国银行的一位发言人表示,这些数据是Ascension从那些购买富国银行抵押贷款的实体组织那里获得的。

  汇丰表示,它正在调查是否有任何客户的数据,包括过去的客户,并证实“自2010年以来,它与Ascension没有供应商关系”。

  当记者联系到CapitalOne时,该公司并未对此发表评论。

  住房和城市发展的发言人没有回应记者的置评请求。该部门目前受到政府持续歇业的影响。

  这是涉及ElasticSearch数据库的一系列安全漏洞中的最新一例。

  去年,人们发现了一个泄露数百万实时短信数据的庞大数据库,并立即对它采取了必要的安全措施。而且,还有一家颇受欢迎的按摩服务机构也出现了大规模信息泄密。最近AIESEC国际青年组织也泄露了400多万条青少年申请者的个人信息。

+1

来源:腾讯科技 作者:审校/乐学

推荐文章