Индийская финтех платформа Mobikwik предоставляет финансовые услуги и мобильный платежный шлюз для 120 000 000 пользователей. Услугами этой компании пользуются около 3 000 000 продавцов и поставщиков.
Еще в прошлом месяце ИБ-исследователь Раджшекхар Раджахария (Rajshekhar Rajaharia) обнаружил в даркнете дамп, содержащий 8,2 терабайта личных данных, якобы принадлежащих миллионам пользователей Mobikwik. Эта база включает в себя имена, номера телефонов, адреса электронной почты, адреса проживания, данные GPS, хэшированные пароли, список установленных приложений, журналы транзакций, номера банковских счетов и части номера платежных карт для 40 000 000 человек. Продавец оценил базу в 1,2 биткоина, то есть примерно в 70 000 долларов.
Также дамп содержит данные KYC (Know Your Customer) для 3 500 000 человек, то есть копии карт AADHAAR, которые присваиваются гражданам страны системой UIDAI (Unique Identification Authority of India, Агентство Индии по уникальной идентификации) и PAN ID.
Хуже того, выяснилось, что MobiKwik, не удаляет информацию о картах со своих серверов даже после того, как пользователь удалил их, а это нарушение закона.
Again!! 11 Crore Indian Cardholder's Cards Data Including personal details & KYC soft copy(PAN, Aadhar etc) allegedly leaked from a company's Server in India. 6 TB KYC Data and 350GB compressed mysql dump.@RBI @IndianCERT #InfoSec #dataprotection #Finance pic.twitter.com/yjc7davH3k
— Rajshekhar Rajaharia (@rajaharia) February 26, 2021
Хакер, выставивший данные на продажу, даже создал специальный поисковый портал, чтобы любой мог проверить, оказался ли он в числе пострадавших. В настоящее время от идеи столь простого поиска пришлось отказаться из-за большого объема трафика и добавить капчу для блокировки ботов, пытающихся собрать данные.
После публикации исследователя, представители MobiKwik заявили, что никакой утечки данных не было, расследование не выявило никаких нарушений, а Раджахария просто хочет «привлечь внимание прессы». Также в компании добавили, что юристы MobiKwik примут меры «в отношении этого так называемого исследователя, который пытается опорочить репутацию бренда из скрытых побуждений».
«Различные образцы текстовых файлов, которые [исследователь] демонстрировал, ничего не доказывают. Любой может создать такие текстовые файлы, чтобы ложно притеснять любую компанию», — писали представители MobiKwik.
Такая реакция компания уже вызвала критику со стороны других ИБ-специалистов.
«Никогда, *никогда* не ведите себя так, как @MobiKwik в этом треде 25 дней назад», — говорит в Twitter основатель сервиса Have I Been Pwned Трой Хант.
Невзирая на критику, теперь, когда инцидент стал достоянием широкой общественности, в MobiKwik продолжают все отрицать. В новом заявлении компании утверждается, что клиенты, обнаружившие свои данные в даркнете, могли сами загрузить их в сеть:
«Некоторые пользователи сообщили, что их данные можно найти в дарквебе. Пока мы изучаем этот вопрос, но вполне возможно, что любой пользователь мог загрузить свою информацию на несколько платформ. Следовательно, неверно предполагать, что данные, доступные в дарквебе, были получены из сети MobiKwik или любого другого установленного источника».
Хотя сторонние киберкриминалисты якобы не обнаружили никаких доказательств утечки данных даже после проведения тщательного расследования, в компании обещают привлечь еще экспертов и провести аудит безопасности. Вместе с тем сообщается, что «протоколы безопасности для хранения конфиденциальных данных надежны и не были нарушены».