Мексиканская туркомпания допустила утечку почти полумиллиона записей клиентов

Исследователи из компании Kromtech обнаружили в открытом доступе базу данных, включающую почти полмиллиона файлов с персональной информацией туристов.

По всей видимости, база данных принадлежала туристической компании MoneyBack, предоставляющей услуги по возврату налогов (возмещение налога на добавленную стоимость или возврат налога с продаж) приезжим из других стран в Мексике. MoneyBack является частью Инвестиционного Фонда Мексики.

В общей сложности база содержала примерно 400 ГБ данных, в том числе 455 038 отсканированных документов (изображения паспортов, удостоверений личности, кредитных карт, билетов и пр.), а также 88 623 уникальных номера паспортов. 

Утечка данных была обнаружена во время проверки безопасности, которую проводили исследователи Kromtech. Эксперты выявили некоректно настроенный сервер CouchDB, позволявший получить доступ к данным через браузер. В начале 2017 года из-за аналогичной уязвимости 10% серверов CouchDB  стали жертвами атак с использованием вымогательского ПО.  

В основном данные пренадлежали гражданам США, Канады, Аргентины, Колумбии и Италии, пользовавшихся услугами компании MoneyBack. Эксперты затрудняются ответить, как долго информация была в общественном доступе. Некоторые документы датированы 2015 годом, однако большинство записей датируются маем нынешнего года.