贷款应用程序可能会让你处于危险之中:尼日利亚金融科技公司泄露了近 846000 名客户的信息数据!
图片来源:Cybernews 据悉,尼日利亚的金融科技公司BestFin Nigeria泄露了近846000名客户及其紧急联系人的信息数据,甚至包括私人通信。 在一些国家,贷款应用程序几乎能够收集到客户的各种信息。2024年7月2日,Cybernews调研团队发现了一个隶属于BestFin Nigeria Limited的开放数据库,该数据库正是背靠iCredit应用程序获取信息。调研人员对其数据收集程度感到惊讶,因为这个数据箱容量超过300GB,包含846,000名客户的敏感个人数据,且开放共享。 该服务收集了以下数据: 个人数据,包括姓名、性别、电话号码、电子邮件地址、家庭住址、出生日期、工资范围和婚姻状况 紧急联系人 用户设备上安装的应用程序列表 保存在他们手机上的联系人列表 设备标识符,如IMEI、模型和IP地址 用户发送和接收的任何短信,包括与付款无关的个人消息、一次性密码以及金融和非金融账户的临时密码 银行验证号码(BVN)验证日志 Cybernews调研团队表示:“虽然BestFin是尼日利亚经批准的贷款人,但其贷款回收和筛选做法明确违反了尼日利亚的数据隐私条例。该条例禁止程序访问用户联系人列表和私人消息历史。因为如果掌握了这些信息,攻击者就可以访问在线帐户或窃取受害者的身份和资金。” 而这却是尼日利亚国内的常见做法。尼日利亚政府意识到了这个问题,并承诺在2024年通过新的立法进一步解决此情况。 图片来源:Cybernews 在此虽只解读了这一起案例,但数字贷款应用程序所带来的客户信息泄漏却是毋庸置疑的。 研究人员表示:“公司声称他们收集敏感的用户数据,是为了评估贷款资格并遏制欺诈行为。而现实却是,公司的做法恰好为网络犯罪分子打开了非法滥用和金融剥削的大门。” 图片来源:Cybernews iCredit应用程序的用户逐渐意识到了他们的数据发生了泄露,作为预防,需要警惕网络钓鱼诈骗、可疑消息、电话和试图访问其帐户的一切行为。 7月4日,Cybernews调研团队披露了MongoDB数据库暴露的问题。经过多次后续尝试,该数据库最终得到保护,从8月26日起不能再被公开访问。 Cybernews调研团队已联系BestFin Nigeria征求意见,但尚未收到回复。 消息来源:Cybernews,译者:XX; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc”并附上原文