Незащищенный сервер FBS сливал данные миллионов участников форекс-рынка

Специалисты WizCase обнаружили в открытом доступе базу данных пользователей FBS.com и FBS.eu, содержащую более 16 млрд записей с конфиденциальной информацией. В руки злоумышленников могли попасть такие данные клиентов форекс-брокера, как имя, пароль, email-адрес, номер удостоверения личности, номер кредитной карты, детали транзакций и т. п.

Компания FBS Markets ведет операционную деятельность более чем в 190 странах, обеспечивая своим клиентам доступ к интерактивной торговле на валютном рынке. Ее услугами пользуются свыше 400 тыс. партнерских организаций и 16 млн трейдеров; приложение FBS для Android было скачано с Google Play Store более 1 млн раз (по состоянию на январь).

Для форекс-брокера такой величины непростительно оставлять клиентскую базу в общем доступе и без всякой защиты. По свидетельству WizCase, найденный ими открытый сервер ElasticSearch содержит около 20 Тбайт данных, не защищенных ни паролями, ни шифрованием.

Эту информацию авторы находки разделили на три группы:

• личностные данные, в том числе ID для доступа к соцсетям и Google-сервисам;
• пользовательские данные (пароли закодированы по base64, но не зашифрованы);
• данные финансового характера.

Злоумышленники могут использовать такой «подарок судьбы» для совершения мошеннических действий, проведения целевых вредоносных и фишинговых атак, шантажа, отъема денег со счетов жертв, угона аккаунтов.

Исследователи уведомили брокера форекс-рынка о находке, и тот принял надлежащие меры. Пользователям FBS.com и FBS.eu рекомендуется сменить пароли и включить дополнительную защиту 2FA. Тем, кто передавал FBS сканы кредитных карт, придется обратиться в банк для их блокировки и перевыпуска.