从ENCollect债务催收服务中暴露的数千借款人数据

在Internet上打开的ElasticSearch服务器实例没有密码，其中包含有关印度和非洲金融服务机构贷款的敏感金融信息。

该漏洞由信息安全公司UpGuard的研究人员发现，总容量为5.8GB，共包含1686363条记录。

UpGuard在与《黑客新闻》分享的一份报告中说：“这些记录包括姓名、贷款金额、出生日期、账号等个人信息”。“收集中总共有48043个独特的电子邮件地址，其中一些是为产品管理员、公司客户和分配给每个案例的收集代理提供的”。

该暴露实例于2022年2月16日被检测到，该实例用作名为ENCollect的债务催收平台的数据存储。自2月28日起，在印度计算机应急响应团队（CERT-In）的干预下，泄漏的服务器已无法供公众访问。

ENCollect被誉为“世界上最好的催收应用程序”，允许催收代理跟踪贷款付款、提起法律诉讼以及提供拖欠管理、结算和收回的方法。

UpGuard表示，这些贷款来自贷款服务，如Lendingkart、Indialens、Shubh loans（MyShubhLife）、Centrum、Rosabo和Accion，泄露的信息还包括与借款人相关的个人信息。

此外，数据集包括114747个邮寄地址、105974个电话号码和157403笔贷款。这些记录的一个子集还显示了其他信息，如共同申请人、家庭成员和其他个人推荐人的联系方式。

UpGuard说：“一些记录包括逾期金额、贷款类型和期限，以及托收机构工作人员留下的关于贷款偿还的内部说明”。

尽管配置错误的服务器已得到保护，但任何有恶意意图的人都有可能将这些信息作为欺诈或勒索计划的一部分，以用户为目标，甚至伪装成贷款收集者以借款人为目标。

研究人员表示：“金融服务数字化为提高债务催收等流程的效率提供了许多机会，但也会在供应链中产生意想不到的风险。”“当供应商解决方案的数据集来自多个客户时，也会产生多方风险，如本例所示”。