图片来源:Cybernews
据悉,尼日利亚的金融科技公司BestFin Nigeria泄露了近846000名客户及其紧急联系人的信息数据,甚至包括私人通信。
在一些国家,贷款应用程序几乎能够收集到客户的各种信息。2024年7月2日,Cybernews调研团队发现了一个隶属于BestFin Nigeria Limited的开放数据库,该数据库正是背靠iCredit应用程序获取信息。调研人员对其数据收集程度感到惊讶,因为这个数据箱容量超过300GB,包含846,000名客户的敏感个人数据,且开放共享。
该服务收集了以下数据:
- 个人数据,包括姓名、性别、电话号码、电子邮件地址、家庭住址、出生日期、工资范围和婚姻状况
- 紧急联系人
- 用户设备上安装的应用程序列表
- 保存在他们手机上的联系人列表
- 设备标识符,如IMEI、模型和IP地址
- 用户发送和接收的任何短信,包括与付款无关的个人消息、一次性密码以及金融和非金融账户的临时密码
- 银行验证号码(BVN)验证日志
Cybernews调研团队表示:“虽然BestFin是尼日利亚经批准的贷款人,但其贷款回收和筛选做法明确违反了尼日利亚的数据隐私条例。该条例禁止程序访问用户联系人列表和私人消息历史。因为如果掌握了这些信息,攻击者就可以访问在线帐户或窃取受害者的身份和资金。”
而这却是尼日利亚国内的常见做法。尼日利亚政府意识到了这个问题,并承诺在2024年通过新的立法进一步解决此情况。
图片来源:Cybernews
在此虽只解读了这一起案例,但数字贷款应用程序所带来的客户信息泄漏却是毋庸置疑的。
研究人员表示:“公司声称他们收集敏感的用户数据,是为了评估贷款资格并遏制欺诈行为。而现实却是,公司的做法恰好为网络犯罪分子打开了非法滥用和金融剥削的大门。”
图片来源:Cybernews
iCredit应用程序的用户逐渐意识到了他们的数据发生了泄露,作为预防,需要警惕网络钓鱼诈骗、可疑消息、电话和试图访问其帐户的一切行为。
7月4日,Cybernews调研团队披露了MongoDB数据库暴露的问题。经过多次后续尝试,该数据库最终得到保护,从8月26日起不能再被公开访问。
Cybernews调研团队已联系BestFin Nigeria征求意见,但尚未收到回复。
消息来源:Cybernews,译者:XX;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
暂无评论内容