MobiKwik diz que não há violação de dados, mesmo com os usuários compartilhando ‘evidências’ no Twitter – Últimas Notícias
Quase um mês depois, MobiKwik emitiu outro comunicado e disse que a empresa está investigando isso … e fará com que um terceiro realize uma auditoria forense de segurança de dados. ” Este desenvolvimento vem depois que os usuários começaram a postar capturas de tela de arquivos de texto revelando detalhes do usuário.
No que diz respeito ao “suposto pesquisador de segurança”, seu nome é Rajshekhar Rajaharia e ele foi um dos primeiros a notificar MobiKwik sobre a violação de segurança. Ele alegou que a empresa não respondeu a ele inicialmente. Ele diz que foi só depois que seu tweet se tornou viral que a empresa emitiu um comunicado negando o falha de segurança reclamação em 4 de março.
Novamente!! Dados dos cartões do titular indiano de 11 crore, incluindo detalhes pessoais e cópia eletrônica KYC (PAN, Aadhar etc) alegada… https://t.co/y01YaznT5s
– Rajshekhar Rajaharia (@rajaharia) 1614353807000Quais detalhes do usuário podem ter vazado
De acordo com os dados violados, os detalhes do usuário que podem ter vazado incluem: nome, número de telefone, senhas com hash, detalhes da conta bancária, endereço, ID de e-mail, foto, dados Aadhaar, dados do passaporte, outros aplicativos instalados no telefone e muito mais.
A versão da história do pesquisador de segurança
Em uma interação com The Times of India – GadgetsNow, Rajaharia disse: “Em 25 de fevereiro, um hacker no fórum dark web (Raid Forum) afirmou que estava de posse de todos os dados de usuário de uma das 3 principais startups de fintech na Índia. O hacker não mencionou o nome da empresa. O motivo pelo qual o hacker não revelou o nome da empresa que foi violada é porque ele queria ganhar algum dinheiro. Mais tarde, ele criou um grupo no Discord e começou a compartilhar detalhes como evidência da violação. Por meio de seus dados de amostra, imaginei que pertencia ao MobiKwik. ”
“Quando tentei confirmar com o hacker se esses dados realmente pertenciam ao MobiKwik ou não, ele não confirmou e disse que o processo de download de dados ainda estava em andamento. Foi quando pensei em informar MobiKwik sobre uma violação potencial ”, disse ele.
Rajaharia havia informado MobiKwik via Twitter e LinkedIn, no dia 1º de março, sobre a possibilidade de violação. Ele não recebeu nenhuma resposta oficial da empresa. Ele afirma ter enviado um e-mail ao fundador da MobiKwik sobre o mesmo, mas não houve resposta.
Rajaharia, afirmou que após alertar MobiKwik, o hacker por meio de um post disse que “perdeu o link com os servidores da empresa e todos os dados foram corrompidos”.
“Logo depois disso, MobiKwik removeu a opção de e-mail do formulário de inscrição para que ninguém pudesse comparar e-mails vazados com seu servidor”, acrescentou.
Mais tarde, Rajaharia disse que ele mesmo relatou um bug na plataforma do MobiKwik depois de alguns dias. “Eles negaram a existência do bug e o consertaram”, afirmou.
Suas postagens no LinkedIn e no Twitter exibindo o bug foram excluídas pelas respectivas plataformas por “violação de políticas”. Embora não esteja claro por que o Twitter e o LinkedIn retiraram suas postagens, um dos motivos pode ser o fato de ele ter postado detalhes privados de usuários.
“A equipe da MobiKwik estava tão confiante de que os dados violados eram apenas de um hacker que negaram publicamente a violação por completo depois que o hacker disse que perdeu os dados à medida que foram corrompidos”, acrescentou.
No entanto, esse não é o caso de Rajaharia e ele afirma que os dados de todos os usuários do MobiKwik ainda estão disponíveis e há até um mecanismo de busca feito para os mesmos. Por meio de seu mecanismo de busca, qualquer pessoa pode pesquisar e obter dados pessoais dos usuários.
Como o ‘mecanismo de pesquisa’ alimentou a tendência #MobikwikDataBreach no Twitter
Depois que o mecanismo de pesquisa foi criado, as pessoas o usaram para encontrar detalhes pessoais de usuários do MobiKwik pesquisando no banco de dados com a ID de e-mail. Assim que encontraram uma correspondência, vários usuários afirmaram que os dados eram precisos e, de fato, originados do MobiKwik. Alguns desses usuários compartilharam capturas de tela de detalhes pessoais que vazaram e postaram no Twitter. Logo, “#MobikwikDataBreach” começou a virar tendência no Twitter. Isso parece ter feito a empresa divulgar um comunicado.
The Times of India – GadgetsNow acessou independentemente o mecanismo de busca e pode confirmar sua existência Este mecanismo de busca pode ser acessado apenas por meio do navegador Tor.
A última declaração oficial de MobiKwik sobre o incidente de violação de dados
“… Alguns usuários relataram que seus dados são visíveis na darkweb. Enquanto estamos investigando isso, é perfeitamente possível que qualquer usuário possa ter enviado suas informações em várias plataformas. Portanto, é incorreto sugerir que o os dados disponíveis na darkweb foram acessados de MobiKwik ou de qualquer fonte identificada.
Quando esse assunto foi relatado pela primeira vez no mês passado, a empresa realizou uma investigação completa com a ajuda de especialistas em segurança externos e não encontrou nenhuma evidência de violação. A empresa está trabalhando de perto com as autoridades necessárias e está confiante de que os protocolos de segurança para armazenar dados confidenciais são robustos e não foram violados. Considerando a seriedade das alegações, e por meio de cautela abundante, ele fará com que um terceiro conduza uma auditoria forense de segurança de dados.
Para nossos usuários, reiteramos que todas as suas contas e saldos MobiKwik estão completamente seguros. Todos os dados financeiros confidenciais são armazenados de forma criptografada em nossos bancos de dados. Nenhum uso indevido do saldo da carteira, cartão de crédito ou débito é possível sem a senha de uso único (OTP) que só chega ao seu número de celular. Recomendamos enfaticamente que você não tente abrir links da dark web / anônimos, pois eles podem colocar em risco a sua segurança cibernética. ”
Source link
