Clienții unei bănci, în pericol mare

Datele financiare și personale pentru mii de clienți ai OTP Leasing puteau fi accesate de oricine prin intermediul aplicației online, scrie pe blogul personal Cristian Iosub, cercetător în domeniul securității cibernetice, conform stiripesurse.ro.

Potrivit postării de pe blogul lui Cristi Iosub, în jurul datei de 11 mai, persoane neautorizate au avut acces la datele clienților OTP Leasing ce erau disponibile în platforma MyLeasing. Iosub scrie că în data de 3 mai a creat un cont pe platformă, unde ar fi trebuit să vadă date cu privire la un contract pe care îl administrează.

Ulterior, acesta a constatat că are drepturi de administrator și că poate avea „acces deplin la datele personale ale 2.715 clienți activi OTP Leasing și peste 15.490 contracte, incluzând nume, prenume, nume societate, număr de telefon, adresa e-mail, serie șasiu, echipamente, contract, situație financiară și multe alte date pe care este mai bine să nu ajungă vreodată online”.

El spune că putea șterge conturile de administrator fără să fie logat nicăieri și putea edita toate conturile din platformă, de la oameni cu un singur autoturism până la flotele auto ale companiilor și echipamente industriale.

Conform lui Iosub, un potențial atacator ar fi putut avea acces la toate contractele, le putea descărca și putea demara o campanie de phishing. De asemenea, ar fi putut vinde datele către alte firme de leasing dornice să refinanțeze creditele în favoarea lor.

Acesta scrie că nu are informații privind vechimea vulnerabilităților și câte persoane au accesat anterior bazele de date ale OTP Leasing.

Iosub mai spune că OTP Leasing a ignorat mai multe e-mail-uri trimise pe această temă și a fost contactat de o angajată care nu înțelegea gravitatea situației.

Sursă: stiripesurse.ro

• Distribuie:
• Distribuie
•