D2
Администратор
- Регистрация
- 19 Фев 2025
- Сообщения
- 4,380
- Реакции
- 0
Индийская финтех платформа Mobikwik предоставляет финансовые услуги и мобильный платежный шлюз для 120 000 000 пользователей. Услугами этой компании пользуются около 3 000 000 продавцов и поставщиков.
Еще в прошлом месяце ИБ-исследователь Раджшекхар Раджахария (Rajshekhar Rajaharia) обнаружил в даркнете дамп, содержащий 8,2 терабайта личных данных, якобы принадлежащих миллионам пользователей Mobikwik. Эта база включает в себя имена, номера телефонов, адреса электронной почты, адреса проживания, данные GPS, хэшированные пароли, список установленных приложений, журналы транзакций, номера банковских счетов и части номера платежных карт для 40 000 000 человек. Продавец оценил базу в 1,2 биткоина, то есть примерно в 70 000 долларов.
Также дамп содержит данные KYC (Know Your Customer) для 3 500 000 человек, то есть копии карт AADHAAR, которые присваиваются гражданам страны системой UIDAI (Unique Identification Authority of India, Агентство Индии по уникальной идентификации) и PAN ID.
Хуже того, выяснилось, что MobiKwik, не удаляет информацию о картах со своих серверов даже после того, как пользователь удалил их, а это нарушение закона.
https://twitter.com/x/status/1365324943630561281
Хакер, выставивший данные на продажу, даже создал специальный поисковый портал, чтобы любой мог проверить, оказался ли он в числе пострадавших. В настоящее время от идеи столь простого поиска пришлось отказаться из-за большого объема трафика и добавить капчу для блокировки ботов, пытающихся собрать данные.
После публикации исследователя, представители MobiKwik заявили, что никакой утечки данных не было, расследование не выявило никаких нарушений, а Раджахария просто хочет «привлечь внимание прессы». Также в компании добавили, что юристы MobiKwik примут меры «в отношении этого так называемого исследователя, который пытается опорочить репутацию бренда из скрытых побуждений».
Такая реакция компания уже вызвала критику со стороны других ИБ-специалистов.
Невзирая на критику, теперь, когда инцидент стал достоянием широкой общественности, в MobiKwik продолжают все отрицать. В новом заявлении компании утверждается, что клиенты, обнаружившие свои данные в даркнете, могли сами загрузить их в сеть:
Хотя сторонние киберкриминалисты якобы не обнаружили никаких доказательств утечки данных даже после проведения тщательного расследования, в компании обещают привлечь еще экспертов и провести аудит безопасности. Вместе с тем сообщается, что «протоколы безопасности для хранения конфиденциальных данных надежны и не были нарушены».
Источник: xakep.ru/2021/03/31/mobikwik/
Еще в прошлом месяце ИБ-исследователь Раджшекхар Раджахария (Rajshekhar Rajaharia) обнаружил в даркнете дамп, содержащий 8,2 терабайта личных данных, якобы принадлежащих миллионам пользователей Mobikwik. Эта база включает в себя имена, номера телефонов, адреса электронной почты, адреса проживания, данные GPS, хэшированные пароли, список установленных приложений, журналы транзакций, номера банковских счетов и части номера платежных карт для 40 000 000 человек. Продавец оценил базу в 1,2 биткоина, то есть примерно в 70 000 долларов.
Также дамп содержит данные KYC (Know Your Customer) для 3 500 000 человек, то есть копии карт AADHAAR, которые присваиваются гражданам страны системой UIDAI (Unique Identification Authority of India, Агентство Индии по уникальной идентификации) и PAN ID.
Хуже того, выяснилось, что MobiKwik, не удаляет информацию о картах со своих серверов даже после того, как пользователь удалил их, а это нарушение закона.
https://twitter.com/x/status/1365324943630561281
Хакер, выставивший данные на продажу, даже создал специальный поисковый портал, чтобы любой мог проверить, оказался ли он в числе пострадавших. В настоящее время от идеи столь простого поиска пришлось отказаться из-за большого объема трафика и добавить капчу для блокировки ботов, пытающихся собрать данные.
После публикации исследователя, представители MobiKwik заявили, что никакой утечки данных не было, расследование не выявило никаких нарушений, а Раджахария просто хочет «привлечь внимание прессы». Также в компании добавили, что юристы MobiKwik примут меры «в отношении этого так называемого исследователя, который пытается опорочить репутацию бренда из скрытых побуждений».
Такая реакция компания уже вызвала критику со стороны других ИБ-специалистов.
Невзирая на критику, теперь, когда инцидент стал достоянием широкой общественности, в MobiKwik продолжают все отрицать. В новом заявлении компании утверждается, что клиенты, обнаружившие свои данные в даркнете, могли сами загрузить их в сеть:
Хотя сторонние киберкриминалисты якобы не обнаружили никаких доказательств утечки данных даже после проведения тщательного расследования, в компании обещают привлечь еще экспертов и провести аудит безопасности. Вместе с тем сообщается, что «протоколы безопасности для хранения конфиденциальных данных надежны и не были нарушены».
Источник: xakep.ru/2021/03/31/mobikwik/