印度移动支付服务MobiKwik350万用户的KYC数据泄露

印度移动支付服务MobiKwik350万用户的KYC数据泄露

印度流行的移动支付服务MobiKwik在本月初发现重大数据泄露事件之后,在数百万个用户的8.2 TB数据开始在暗网上流传后,周一遭到了抨击

泄漏数据详情

  • 客户名称,
  • 哈希密码,
  • 电子邮件地址,
  • 居住地址
  • GPS位置,
  • 已安装的应用程序列表,
  • 部分屏蔽的信用卡号,
  • 关联的银行帐户和关联的帐号,以及
  • 知道您有350万用户的客户(KYC)文档。

更糟糕的是,泄漏还表明MobiKwik即使在用户删除卡后也不会从其服务器中删除卡信息,这很可能违反了政府法规。

印度顶点银行机构印度储备银行发布的新准则禁止在线商家,电子商务网站和付款聚合商在线存储客户的卡详细信息。该规定将于2021年7月开始生效。

截至2020年7月,MobiKwik全国1.2亿用户和300万零售商提供服务

该数据泄漏网站可通过Tor浏览器访问,并拥有36,099,759条记录,由于独立安全研究人员Rajshekhar Rajaharia的报告,该数字钱包公司于3月4日强烈否认了这一事件,之后该网站上线了。

“一个媒体疯狂所谓的安全研究员曾多次在上周呈现的炮制文件浪费我们组织的宝贵时间,同时拼命地抓住媒体的关注,” MobiKwik啾啾。“我们彻底调查了他的指控,没有发现任何安全漏洞。他一直在展示的各种示例文本文件都证明没有任何意义。任何人都可以创建这样的文本文件来虚假地骚扰任何公司。”

但是,有多个用户证实与此相反,他们在“ MobiKwik印度数据泄漏”站点中找到了他们的个人详细信息,从而证明了该违规行为。

安全研究人员和漏洞通知工具“曾经被我拥有”的创建者特洛伊·亨特(Troy Hunt)在推文中说: “从25天前起,就永远不会像@MobiKwik在此线程中那样行为。”特洛伊·亨特(Troy Hunt)表示,该公司正在处理MobiKwik的情况。

据接近事件的消息来源称,这种泄密最初是在2月24日的一个数据库泄漏论坛上公布的,黑客声称可以从一个不知名的Paytm竞争对手那里访问6TB数据。

有趣的是,看来拉贾哈里亚(Rajaharia)披露了漏洞,超出了公司的身份并通过电子邮件警告了MobiKwik之后,该公司同时采取了措施来阻止黑客下载数据。

黑客在一天后的一个论坛帖子中说:“我们失去了访问公司主要服务器的权限,这不足为奇……无法下载任何新内容。”他补充说,部分下载可能已损坏。daccess-ods.un.org daccess-ods.un.org

“无论如何我们从来不想要任何钱,所以不难过。但是KYC曾经是最大的黑客之一!!或者我们想过。骇客和狗屎。不过令人兴奋的是1月!!”,骇客说,这暗示骇客事件可追溯至1月,与Rajaharia 3月4日的推文相呼应。

但是一个月后,黑客在3月27日的另一份清单中声称,“我们恢复了所有数据,并且可以出售”,据称以1.5比特币(85,684.65美元)的价格提供了据称是8TB的数据。

但是,在一个有趣的事件中,将数据出售的计划似乎已经暂停,直到另行通知。黑客在更新中说:“只有在经过适当的核实我们正在与公司打交道之后,才将其卖给公司。”这暗示了勒索方案。

目前尚不清楚威胁者是如何设法获得对MobiKwik服务器的未授权访问的,但是黑客表示,“这将使该公司感到尴尬。

当得到回应时,MobiKwik发言人对该漏洞轻描淡写,指出尚未从其自己的服务器中检索黑暗网站上共享的数据。该公司还表示,正在与有关当局合作对其平台进行安全审核。“有些用户报告说他们的数据在黑暗的网络上可见。在我们进行调查的同时,任何用户完全有可能在多个平台上上传了他/他的信息。因此,建议可用数据是不正确的可以从MobiKwik或任何确定的来源访问暗网上的网页。”“作为一个受监管的实体,公司非常重视其数据安全性,并且完全遵守适用的数据安全法律。该公司在其PCI-DSS和ISO认证下受到严格的合规性措施,其中包括年度安全审核和季度渗透测试为确保其平台的安全性,此事一经报告,该公司便在外部安全专家的帮助下进行了彻底的调查,没有发现任何违规的证据。该公司正在与必要的主管部门紧密合作,并考虑到指控的严重性,将使第三方进行取证数据安全审核。对于其用户,该公司重申,所有MobiKwik帐户和余额都是完全安全的。”

暗网社工库查询截图

黑客论坛售卖截图

泄露数据截图

from