印度數位支付公司否認 KYC 用戶資料因駭侵而外洩.png

印度數位支付業者 Mobikwik 日前發生嚴重用戶資料外洩事件,多達 8TB 以上用戶資料遭不明駭侵者在暗網上公開,但該公司否認發生資安事故。

印度最大的數位支付業者 Mobikwik,日前遭資安專家指出該公司發生嚴重用戶資料外洩事件,多達 8TB 以上用戶資料,遭不明駭侵者在暗網上公開,但該公司否認發生資安事故。

獨立資安研究人員 Rajshekhar Rajaharia 於今年二月底時,在 Twitter 上發布貼文和截圖,指出他發現來自 Mobikwik 的大量用戶資料,被不明駭侵者部分公布於暗網,同時試圖出售這批資料。

被指為竊自 Mobikwik 的這批用戶資料,包括多種個人資料與金融相關資訊;其中包括超過一億人的住址、電話號碼、Email、經雜湊加密的用戶密碼,以及約四千萬名用戶的銀行帳戶與信用卡資訊等。該批資料還包括約 350 萬名印度用戶的 KYC(Know your customer)資料。

試圖出售這批資料的駭侵者,甚至還提供一個查詢頁面,可讓有意購買的人輸入要查詢的個人電話或 Email 地址,檢視和輸入資料相關的其他資料欄位;但由於查詢的網路流量太大,甚至出現資料爬蟲試圖搜刮資訊,該查詢欄位目前已遭撤下。

針對 Rajshekhar Rajaharia 的指證,以及媒體的後續相關報導,Mobikwik 一再極力否認,多次發表聲明指出該公司並未發生資料外洩事件,所有用戶資料都非常安全;針對用戶質疑自己的資料可在暗網上查到,該公司表示任何用戶都可以把自己的資料上傳到網路上的各個平台。

該公司也說,已會同第三方資安公司進行調查,沒有發現資料遭竊的證據。

  • 參考連結

https://twitter.com/rajaharia/status/1365324943630561281
https://twitter.com/MobiKwik/status/1367489330902675463
https://thehackernews.com/2021/03/mobikwik-suffers-major-breach-kyc-data.html
https://www.bleepingcomputer.com/news/security/leading-indian-fintech-platform-mobikwik-denies-data-breach/

arrow
arrow
    文章標籤
    TWCERTCC TWCERT 台灣電腦網路危機處理暨協調中心 數位支付 資料外洩 印度
    全站熱搜

    twcert 發表在 痞客邦 留言(0) 人氣()

    E-mail轉寄