Dịch vụ thanh toán di động phổ biến của Ấn Độ MobiKwik vào thứ Hai đã bị phản đối sau khi 8,2 terabyte (TB) dữ liệu của hàng triệu người dùng bắt đầu lưu hành trên dark web sau một vụ vi phạm dữ liệu lớn được đưa ra ánh sáng vào đầu tháng này.
Dữ liệu bị rò rỉ bao gồm thông tin cá nhân nhạy cảm như:
- tên khách hàng,
- mật khẩu băm,
- địa chỉ email,
- địa chỉ cư trú,
- Vị trí GPS,
- danh sách các ứng dụng đã cài đặt,
- số thẻ tín dụng bị che một phần,
- tài khoản ngân hàng được kết nối và số tài khoản được liên kết,
- và thậm chí biết tài liệu khách hàng (KYC) của bạn với 3,5 triệu người dùng.
Tệ hơn nữa, rò rỉ còn cho thấy MobiKwik không xóa thông tin thẻ từ các máy chủ của nó ngay cả sau khi người dùng đã xóa chúng, có khả năng là vi phạm các quy định của chính phủ.
Hướng dẫn mới do tổ chức ngân hàng đỉnh cao của Ấn Độ, Ngân hàng Dự trữ Ấn Độ, ban hành cấm người bán trực tuyến, trang web thương mại điện tử và công ty tổng hợp thanh toán từ việc lưu trữ chi tiết thẻ của khách hàng trực tuyến. Các quy tắc sẽ có hiệu lực từ tháng 7 năm 2021.
Kể từ tháng 7 năm 2020, MobiKwik phục vụ 120 triệu người dùng và 3 triệu nhà bán lẻ trên cả nước.
Trang web rò rỉ dữ liệu, có thể truy cập thông qua trình duyệt Tor và tự hào có 36.099.759 hồ sơ, đã xuất hiện trực tuyến sau khi công ty ví kỹ thuật số kịch liệt phủ nhận vụ việc vào ngày 4 tháng 3 sau một báo cáo của một nhà nghiên cứu bảo mật độc lập Rajshekhar Rajaharia.
“Một nhà nghiên cứu bảo mật được gọi là điên cuồng với giới truyền thông đã liên tục trình bày các tệp tin được dựng sẵn làm lãng phí thời gian quý báu của tổ chức chúng tôi trong khi cố gắng thu hút sự chú ý của giới truyền thông một cách tuyệt vọng”, MobiKwik đã tweet. “Chúng tôi đã điều tra kỹ lưỡng các cáo buộc của anh ta và không tìm thấy bất kỳ lỗi bảo mật nào. Các tệp văn bản mẫu khác nhau mà anh ta trưng bày không chứng minh được điều gì. Bất kỳ ai cũng có thể tạo các tệp văn bản như vậy để quấy rối bất kỳ công ty nào.”
Tuy nhiên, nhiều người dùng đã xác nhận ngược lại, việc tìm thấy chi tiết cá nhân của họ trong trang web “rò rỉ dữ liệu MobiKwik Ấn Độ”, cho thấy sự tin cậy đối với vi phạm.
“Chưa bao giờ * chưa bao giờ * hoạt động như @MobiKwik đã có trong chuỗi này từ 25 ngày trước”, Troy Hunt, nhà nghiên cứu bảo mật và người tạo ra công cụ thông báo vi phạm Have I Been Pwned, nói trong một tweet, kêu gọi công ty MobiKwik đang xử lý tình huống.
Theo các nguồn tin thân cận với vụ việc, thỏa hiệp ban đầu được quảng cáo trên một diễn đàn rò rỉ cơ sở dữ liệu vào ngày 24 tháng 2, với một hacker tuyên bố quyền truy cập vào dữ liệu 6TB từ một đối thủ cạnh tranh giấu tên của Paytm.
Thật thú vị, có vẻ như sau Rajaharia tiết lộ rò rỉ, tiết lộ danh tính của công ty và cảnh báo MobiKwik qua email, công ty đồng thời thực hiện các biện pháp để ngăn chặn hacker tải xuống dữ liệu.
“Chúng tôi […] bị mất quyền truy cập vào máy chủ của công ty chính, mặc dù không có gì đáng ngạc nhiên … Không thể tải xuống bất kỳ thứ gì mới “, hacker cho biết trong một bài đăng trên diễn đàn một ngày sau đó, nói thêm rằng một phần tải xuống có thể đã bị hỏng.
“Dù sao thì chúng tôi cũng không bao giờ muốn có tiền, nên đừng buồn. Nhưng một trong những vụ hack lớn nhất của KYC từng chết tiệt !!! HOẶC VẬY CHÚNG TÔI NGHĨ. 🙁 Vì vậy, tôi đoán già rồi nói rằng tôi đã từng hack và chết tiệt hack và shit. Tuy nhiên, thú vị là 1 tháng !!! “, hacker nói, ngụ ý rằng vụ hack đã có từ tháng 1, lặp lại các tweet của Rajaharia từ ngày 4 tháng 3.
Nhưng một tháng sau, trong một danh sách riêng vào ngày 27 tháng 3, hacker tuyên bố, “chúng tôi đã khôi phục tất cả dữ liệu và nó đang được bán”, cung cấp thứ được cho là 8TB dữ liệu của họ với giá 1,5 bitcoin (85.684,65 USD).
Tuy nhiên, trong một diễn biến thú vị, các kế hoạch đưa dữ liệu lên bán dường như đã bị đình chỉ cho đến khi có thông báo mới. “Chỉ bán cái này cho công ty sau khi xác minh hợp lệ rằng chúng tôi đang giao dịch với công ty”, hacker cho biết trong một bản cập nhật, ngụ ý một âm mưu tống tiền.
Hiện vẫn chưa rõ bằng cách nào mà kẻ đe dọa có được quyền truy cập trái phép vào máy chủ của MobiKwik, nhưng tin tặc cho biết, “sẽ rất xấu hổ cho công ty. Chuyện này sẽ xảy ra trong thời gian khác ..” (sic)
Hacker News đã liên hệ với MobiKwik và chúng tôi sẽ cập nhật câu chuyện nếu nhận được phản hồi.
