印度付款平台MobiKwik的350万用户的个人信息泄露,在暗网上出售
在一家私人实体的一次重大数据安全漏洞中,据称是付款平台MobiKwik的8.2 TB(印度最大的此类泄露事件)包含350万用户的个人信息,在暗网上出售。
尽管几位独立的网络安全研究人员早在2月就已经报道了MobiKwik服务器的数据可能泄露,但法国安全研究员罗伯特·巴蒂斯特(推特上的Elliot Alderson)周一证实了这一漏洞。
泄露的信息包括姓名、电子邮件地址、安装的应用程序列表、位置数据、哈希密码、部分屏蔽的信用卡号码和KYC文件的照片。
尽管MobiKwik周二否认有任何数据泄露事件,但它在博客中表示:“该公司正在与必要的权威机构密切合作,并有信心存储敏感数据的安全协议是可靠的,并且未被破坏。考虑到指控的严重性,并采取充分的谨慎态度,它将促使第三方进行取证数据安全审计。”
它说:“当上个月首次报告此事时,该公司在外部安全专家的帮助下进行了彻底的调查,没有发现任何违反的证据。”
“一些用户报告称,他们的数据在暗网上是可见的。我们正在调查此事,任何用户都有可能在多个平台上上传自己的信息。”然而,声称在一个网站上搜索过泄露数据的用户表示,他们能够在其中找到唯一保存在MobiKwik上的个人信息,并将此次泄露与该平台联系起来。“实际上,即使是在2013年创建我的Mobikwik帐户的准确日期,也都在那儿,”尼克希尔·帕瓦周二在推特上写道。
网络安全研究员拉贾里亚于2月26日首次公开了这次入侵,他已于2月24日就这次入侵写信给MobiKwik,并在3月第一周晚些时候联系了印度央行和计算紧急响应小组,但没有收到回复。
据拉贾里亚称,一个暗网论坛最初在2月份公布了这些数据。拉贾里亚声称,他通过电子邮件警告MobiKwik,该公司一定采取了措施阻止黑客下载数据,然后黑客发帖说他们失去了访问服务器的权限。但在3月27日,黑客再次声称他们已经恢复了所有数据,并将其以1.5比特币(约合8.6万美元)的价格出售。