印度移動(dòng)支付服務(wù)商MobiKwik 350萬(wàn)用戶信息在暗網(wǎng)泄露
3月30日,印度移動(dòng)支付服務(wù)商MobiKwik可能已被黑客入侵,近350萬(wàn)客戶的KYC(實(shí)名身份驗(yàn)證)信息遭泄露。盡管MobiKwik否認(rèn)了該黑客入侵事件,但其他消息似乎已經(jīng)證實(shí)了這一事實(shí),因?yàn)橐呀?jīng)有人在暗網(wǎng)論壇上列出了8.2 TB的KYC數(shù)據(jù),售價(jià)1.5比特幣(BTC)。
MobiKwik數(shù)據(jù)在暗網(wǎng)泄露
據(jù)悉,MobiKwik于2009年在印度古爾格拉姆(Gurugram)成立,該公司通過APP向用戶提供支付服務(wù)和數(shù)字錢包服務(wù)。2016年,該公司開始向用戶提供小額貸款,要求用戶提交實(shí)名認(rèn)證(KYC)信息。
互聯(lián)網(wǎng)獨(dú)立研究員拉賈哈里亞(Rajaharia)表示,黑客從MobiKwik竊取的KYC數(shù)據(jù)已經(jīng)在暗網(wǎng)論壇上售賣,在賣方建立的專題頁(yè)面上,買家可以通過電話號(hào)碼或電子郵件ID搜索到指定的結(jié)果,這批數(shù)據(jù)一共8.2TB,買家只需支付1.5個(gè)比特幣就能獲得整個(gè)數(shù)據(jù)庫(kù)的專有權(quán),而且,已經(jīng)有買家嘗試抓取了9900萬(wàn)個(gè)用戶KYC信息。
在暗網(wǎng)上,賣家還針對(duì)這批數(shù)據(jù)的設(shè)立了貸款規(guī)則,每條用戶信息可以籌集價(jià)值$500-$1,000的印度盧比貸款。這可能使1.5BTC投資價(jià)值高達(dá)30億美元。賣方聲稱他已經(jīng)能夠以該信息作為概念證明來(lái)獲得貸款。
MobiKwik公司堅(jiān)決予以否認(rèn)
關(guān)于這一事件,MobiKwik公司在推特上堅(jiān)決予以否認(rèn):“一個(gè)瘋狂的所謂安全研究人員反復(fù)嘗試提供偽造的文件,浪費(fèi)了本公司和媒體的寶貴時(shí)間。我們進(jìn)行了徹底調(diào)查,并未發(fā)現(xiàn)任何安全漏洞。我們的用戶和公司數(shù)據(jù)是完全安全的。”但是,此答復(fù)并不能解釋為什么暗網(wǎng)賣方聲稱數(shù)據(jù)源就是來(lái)自MobiKwik,同時(shí),在暗網(wǎng)專題頁(yè)面上看到的樣本還包含MobiKwik QR碼的圖像。
“一個(gè)瘋狂的所謂安全研究人員”說的就是獨(dú)立研究員拉賈哈里亞(Rajaharia)。在較早前,拉賈哈里亞(Rajaharia)就在推特上披露,客戶的KYC信息已從MobiKwik的服務(wù)器中泄露,但MobiKwik公司很快予以否認(rèn),并威脅拉賈哈里亞(Rajaharia)將提起訴訟,指控他沒有充分的證據(jù),這也是拉賈哈里亞(Rajaharia)突然曝光了暗網(wǎng)售賣事件的主要原因,而且該公司在2010年的確實(shí)發(fā)生過數(shù)據(jù)泄露事件。
如果這件事情被證實(shí),這將是目前最大的用戶KYC信息泄漏事件。當(dāng)然,事件的真假,各說紛紜,但許多較小的攻擊事件卻在頻繁發(fā)生。3月15日,黑客劫持了PancakeSwap和Cream Finance域名的DNS,試圖訪問這些站點(diǎn)的用戶被定向到一個(gè)未知地址,并索要他們的錢包種子短語(yǔ)。2月初,另一名黑客從Cream Finance上成功竊取了3750萬(wàn)美元。
安全建議
在數(shù)字貨幣高增長(zhǎng)時(shí)期,尤其需要注重安全建設(shè)。但所有安全事故往往是一些工作疏忽造成,正所謂“千里之堤毀于蟻穴”。因此,網(wǎng)安信建議企業(yè)在實(shí)際工作中,務(wù)必做好以下三點(diǎn):
- 制定嚴(yán)格的內(nèi)部管理流程,對(duì)公司管理節(jié)點(diǎn)進(jìn)行清晰的區(qū)域分割,對(duì)相關(guān)人員的權(quán)限進(jìn)行分權(quán)管理,且隨時(shí)根據(jù)公司的發(fā)展情況對(duì)管理節(jié)點(diǎn)進(jìn)行定期更新維護(hù)。
- 時(shí)刻保持警惕,對(duì)公司所有操作日志和用戶訪問日志進(jìn)行7*24小時(shí)監(jiān)控,每天定期巡查,發(fā)現(xiàn)異常立即處理。
- 做好安全防護(hù)工作,定期對(duì)公司所用應(yīng)用和服務(wù)器進(jìn)行安全檢測(cè),或與靠譜的第三方服務(wù)公司合作,引入更先進(jìn)的安全服務(wù)。
