Исследователи из компании Kromtech обнаружили в открытом доступе базу данных, включающую почти полмиллиона файлов с персональной информацией туристов.

По всей видимости, база данных принадлежала туристической компании MoneyBack, предоставляющей услуги по возврату налогов (возмещение налога на добавленную стоимость или возврат налога с продаж) приезжим из других стран в Мексике. MoneyBack является частью Инвестиционного Фонда Мексики.

В общей сложности база содержала примерно 400 ГБ данных, в том числе 455 038 отсканированных документов (изображения паспортов, удостоверений личности, кредитных карт, билетов и пр. ) а также 88 623 уникальных номеров паспортов.  

Утечка данных была обнаружена во время проверки безопасности, которую проводили исследователи Kromtech.

Исследователи выявили некоректно настроенный сервер CouchDB, позволявший получить доступ к данным через браузер. В начале 2017 года аналогичная уязвимость привела к тому, что 10% серверов CouchDB стали жертвами атак с использованием вымогательского ПО.    

В основном данные пренадлежали гражданам США, Канады, Аргентины, Колумбии и Италии, пользовавшихся услугами компании MoneyBack. Эксперты затрудняются ответить, как долго информация была в общественном доступе. Некоторые документы датированы 2015 годом, однако большинство записей датируются маем нынешнего года.