2021-3-31 来源:thehackernews
受欢迎的印度移动支付服务MobiKwik周一遭到抨击,因为在本月早些时候曝光的一次重大数据泄露事件之后,数百万用户的8.2 TB数据开始在黑暗网络上流传。
泄露的数据包括敏感的个人信息,如: 客户名称,散列密码,电子邮件地址,居住地址,GPS位置,已安装应用的列表,部分隐藏的信用卡号码,关联银行账户和相关账号,以及了解350万用户的客户(KYC)文档。
更糟糕的是,此次泄密还显示,MobiKwik即使在用户删除了卡信息之后,也不会从服务器上删除卡信息,这很可能违反了政府的规定。
印度顶级银行机构印度储备银行(ReserveBankofIndia)发布的新准则禁止在线商户、电子商务网站和支付聚合商在线存储客户的信用卡详细信息。这些规定将于2021年7月开始生效。
截至2020年7月,MobiKwik为全国1.2亿用户和300万零售商提供服务。
这家数字钱包公司在3月4日发布独立安全研究人员拉杰赫哈尔·拉贾哈里亚(Rajshekhar Rajaharia)的报告后,强烈否认了这一事件,随后这家数据泄露网站上线,该网站可通过Tor浏览器访问,拥有36099759条记录。
MobiKwik在推特上说:“一位媒体狂热的所谓安全研究人员在过去的一周里反复提交了伪造的文件,浪费了我们组织的宝贵时间,同时拼命想抓住媒体的注意力。”我们彻底调查了他的指控,没有发现任何安全漏洞。他展示的各种文本文件样本证明不了什么。任何人都可以创建这样的文本文件来虚假骚扰任何公司。”
不过,多位用户却证实了相反的消息,他们在“MobiKwik India data leak”网站上找到了自己的个人资料,为泄密事件提供了证据。
“永远不要像@MobiKwik在25天前的帖子里那样表现,”特洛伊 亨特(Troy Hunt)在推特上说,他是一名安全研究人员,也是违规通知工具的创造者,他呼吁MobiKwik处理这一情况。
据接近事件的消息人士透露,这一妥协方案最初是在2月24日的一个数据库泄露论坛上发布的,一名黑客声称可以从一家不知名的Paytm竞争对手那里访问6TB数据。
有趣的是,在Rajaharia披露了泄密信息、泄露了公司身份并通过电子邮件警告MobiKwik之后,公司同时采取措施阻止黑客下载数据。
“我们[…]失去了对公司主要服务器的访问权,这并不奇怪。。。一天后,黑客在一个论坛的帖子中说:“不能下载任何新的东西。”他补充说,部分下载的数据可能已经被破坏。
“反正我们从来不要钱,所以不难过。但是KYC有史以来最大的黑客之一!!!或者我们是这么想的。“黑客说,这意味着该漏洞可以追溯到1月,与拉贾哈里亚3月4日的推特相呼应。
但一个月后,在3月27日的另一份清单中,黑客声称,“我们恢复了所有数据,并准备出售”,以1.5比特币(85684.65美元)的价格提供据称是8TB的数据。
然而,一个有趣的转折点是,在进一步通知之前,出售这些数据的计划似乎已经暂停。”只有在适当核实我们与该公司打交道后,才能将其出售给该公司,”黑客在一份最新报告中说,暗示这是一个勒索计划。
目前还不清楚这个威胁参与者是如何获得对MobiKwik服务器的未经授权的访问权限的,但黑客说,“这将使公司感到尴尬。另一个时代的故事……(原文如此)
当得到回复时,MobiKwik的一位发言人轻描淡写地说,在黑暗网站上共享的数据并没有从自己的服务器上检索到。该公司还表示,正与相关部门合作,对其平台进行安全审计。
“一些用户报告说,他们的数据在黑暗的网络上是可见的。虽然我们正在调查此事,但完全有可能任何用户都曾在多个平台上传过自己的信息。因此,认为黑暗网络上可用的数据是从MobiKwik或任何确定的来源获得的是不正确的。”
“作为受监管的实体,公司非常重视其数据安全,并完全遵守适用的数据安全法律。根据PCI-DSS和ISO认证,该公司受到严格的合规措施,包括年度安全审计和季度渗透测试,以确保其平台的安全。此事一经报道,该公司在外部安全专家的帮助下进行了彻底调查,没有发现任何违规证据。该公司正就此事与必要的当局密切合作,考虑到指控的严重性,将让第三方进行法医数据安全审计。对于用户,公司重申所有MobiKwik账户和余额都是完全安全的。”
【参考来源:thehackernews】