Das indische Startup, Zahlungsdienstleister Juspay, sagte am Dienstag (05), dass es eine erlitten habe Datenverletzung, von der rund 35 Millionen Kunden betroffen warenim August letzten Jahres.
Jetzt verkauft ein Cyberkrimineller 365 Millionen Daten von indischen Unternehmen im Internet und Juspay gehören dazu. Die zum Verkauf stehenden Datenbanken wurden vom Forscher Rajshkhar Rajaharia entdeckt, der eine Probe erhielt und auf Twitter veröffentlichte.
Der gleiche Hacker, der verkauft hat @JusPay DB verkauft jetzt DBs von mehr indischen Unternehmen auf Dark Web. @clickindia – 8Mn @chqbook – 1Mn @ Wedmegood – 1,3 Mio. Gleicher Hacker verkauft auch @bigbasket_com auch. Möglicherweise besteht eine starke Verbindung zwischen all diesen jüngsten Datenlecks. #InfoSec #DataLeak #GDPR pic.twitter.com/zs0mA7NjLR
– Rajshekhar Rajaharia (@rajaharia) 6. Januar 2021
Laut der Zeitung Times of India Das Startup hat große Kunden und verarbeitet Zahlungen an Internetgiganten, wie Amazon, Swiggy, neben anderen Unternehmen.
Rechtfertigung
Juspay garantiert, dass die verletzten Daten nicht kompromittiert oder vertraulich sind. „Aufzeichnungen von rund 35 Millionen Benutzern mit maskierten Kartendaten und Fingerabdruck der Karte (die nicht vertrauliche Informationen sind) wurden verletzt. Die Daten maskierte Karten werden zu Anzeigezwecken in der Benutzeroberfläche des Händlers verwendet und kann nicht zum Abschließen einer Transaktion verwendet werden”, Schreibt das Unternehmen in einer Erklärung auf dem offiziellen Blog.
Nach der vom Forscher veröffentlichten Stichprobe Die zum Verkauf stehenden Daten enthalten Informationen wie den Namen des Kunden, den Banknamen und sogar die Handynummer des Kunden. “Er [o cibercriminoso] möglicherweise als “ShinyHunters” bekannt, bittet um 10.000 Dollar für [dados da] BigBasket [e] 8.000 US-Dollar für JusPay “, schreibt Rajaharia auf Twitter.
„Neben der Nummer [do cartão] maskiert enthalten die Daten den Fingerabdruck der Karte, bei der es sich um eine gehashte Kreditkartennummer handelt. Obwohl eine Hash-Kartennummer allein nicht entschlüsselt werden kann, Jeder, der Zugriff auf den Juspay-Algorithmus hat, kann die Nummern entschlüsseln”, Sagte der Forscher der Zeitung Times of India.
Juspay bekräftigt, dass der Verstoß auf ein isoliertes System beschränkt war, das maskierte Kartennummern enthält. Für das Unternehmen sind diese Informationen nicht vertraulich und kann nicht zum Abschließen einer Transaktion verwendet werden.
„Alle vollständigen Kartennummern, Bestellinformationen, Karten-PINs oder Passwörter aller Kunden sind geschützt. Kompromittierte Daten enthalten keine Transaktions- oder Bestellinformationen”, Begründet Juspay in der Erklärung.
Hilfe schicken
In einer anderen Erklärung berichtet das Unternehmen, dass es Sicherheitsdienste von Verizon und PricewaterhouseCoopers (PwC) beauftragt hat, den Fall zu untersuchen und Verbesserung der Sicherheit von Daten, Informationen und Systemen im Unternehmen.
„Wir haben Verizon Business mit der Durchführung einer unabhängigen PCI Forensic Investigation (PFI) beauftragt. Wir benennen auch PricewaterhouseCoopers (PwC), um eine umfassende Prüfung von Richtlinien, Protokollen und Technologien durchzuführen. Dies würde dazu beitragen, die Widerstandsfähigkeit und Bereitschaft zu erhöhen, Bedrohungen durch illegale Cyberangriffe zu mindern “, schreiben sie.
Juspays Datenschutzverletzungen waren erstmals auf dem singapurischen Portal The Business Times veröffentlichtam 12. Dezember 2020. Aber es war Bleeping Computer, der neben einem Screenshot eines Benutzers, der Daten von 25 weiteren Unternehmen verkaufte, weitere Details zu dem Fall veröffentlichte.
Quellen: Rajshekhar Rajaharia;; Indische Zeiten;; Juspay (1), (zwei); Die Geschäftszeiten;; Bleeping Computer.
See the original post at: https://thehack.com.br/dados-sao-vendidos-na-dark-web-apos-incidente-que-afetou-35-milhoes-de-clientes-da-juspay/?rand=48891
