Service de paiement mobile indien populaire MobiKwik lundi a été critiqué après que 8,2 téraoctets (To) de données appartenant à des millions de ses utilisateurs ont commencé à circuler sur le Web sombre à la suite d’une violation de données majeure qui a été découverte plus tôt ce mois-ci.
Les données divulguées comprennent des informations personnelles sensibles telles que:
- les noms des clients,
- mots de passe hachés,
- adresses mail,
- adresses résidentielles,
- Emplacements GPS,
- liste des applications installées,
- numéros de carte de crédit partiellement masqués,
- comptes bancaires connectés et numéros de compte associés,
- et connaissez même vos documents client (KYC) de 3,5 millions d’utilisateurs.
Pire encore, la fuite montre également que MobiKwik ne supprimer les informations de la carte de ses serveurs même après qu’un utilisateur les a supprimés, ce qui est probablement une violation des réglementations gouvernementales.
Nouvelles directives publiées par l’institution bancaire suprême de l’Inde, la Reserve Bank of India, interdire les marchands en ligne, les sites de commerce électronique et les agrégateurs de paiement stockent en ligne les détails de la carte d’un client Les règles devraient entrer en vigueur à partir de juillet 2021.
Depuis juillet 2020, MobiKwik sert 120 millions d’utilisateurs et 3 millions de détaillants à travers le pays.
Le site de fuite de données, accessible via le navigateur Tor et compte 36 099 759 enregistrements, a été mis en ligne après que la société de portefeuille numérique a nié avec véhémence l’incident le 4 mars à la suite d’un rapport par un chercheur indépendant en sécurité Rajshekhar Rajaharia.
« Un soi-disant chercheur en sécurité fou des médias a présenté à plusieurs reprises au cours de la semaine dernière des fichiers concoctés faisant perdre un temps précieux à notre organisation tout en essayant désespérément d’attirer l’attention des médias, » MobiKwik tweeté. « Nous avons mené une enquête approfondie sur ses allégations et n’avons trouvé aucun défaut de sécurité. Les différents exemples de fichiers texte qu’il a présentés ne prouvent rien. N’importe qui peut créer de tels fichiers texte pour harceler faussement n’importe quelle entreprise. »
cependant, plusieurs utilisateurs ont confirmé le contraire, en trouvant leurs coordonnées personnelles sur le site « MobiKwik India data leak », donnant foi à la violation.
« Jamais * jamais * se comporter comme @MobiKwik dans ce fil d’il y a 25 jours, » Troy Hunt, chercheur en sécurité et créateur de l’outil de notification de violation Have I Been Pwned, m’a dit dans un tweet, appelant la société MobiKwik à gérer la situation.
Selon des sources proches de l’incident, le compromis a été initialement annoncé dans un forum de fuite de base de données le 24 février, un pirate informatique prétendant avoir accès à des données de 6 To d’un concurrent Paytm sans nom.
Fait intéressant, il semble qu’après Rajaharia divulgué la fuite, a révélé l’identité de l’entreprise et a averti MobiKwik par e-mail, l’entreprise a simultanément pris des mesures pour empêcher le pirate de télécharger les données.
« Nous […] perdu l’accès aux principaux serveurs de l’entreprise, ce qui n’est pas surprenant … Je ne peux rien télécharger de nouveau », a déclaré le hacker dans un message du forum un jour plus tard, ajoutant que le téléchargement partiel avait peut-être été corrompu.
« Nous n’avons jamais voulu d’argent de toute façon, donc pas triste. Mais l’un des plus gros hacks de KYC a jamais merdé !!! du piratage et de la merde. Excitant 1 mois cependant !!! « , a déclaré le pirate informatique, laissant entendre que le piratage remontait à janvier, faisant écho aux tweets de Rajaharia du 4 mars.
Mais un mois plus tard, dans une liste distincte le 27 mars, le pirate informatique a déclaré: «Nous avons récupéré toutes les données et elles sont en vente», offrant ce qui est censé être 8 To de leurs données pour 1,5 bitcoin (85 684,65 $).
Cependant, dans une tournure intéressante des événements, les projets de mise en vente des données semblent avoir été suspendus jusqu’à nouvel ordre. « Ne vendez cela à l’entreprise qu’après avoir vérifié que nous traitons avec l’entreprise », a déclaré le pirate informatique dans une mise à jour, impliquant un plan d’extorsion.
On ne sait pas dans l’immédiat comment l’acteur de la menace a réussi à obtenir un accès non autorisé aux serveurs de MobiKwik, mais le pirate a déclaré: « Ce sera embarrassant pour l’entreprise. Histoire pour un autre temps .. » (sic)
The Hacker News a contacté MobiKwik et nous mettrons à jour l’histoire si nous recevons une réponse.