Sec Hotspot 首页  友情链接  收藏本站  技术博客  RSS
统计信息
已收录文章数量:13946 篇
已收录公众号数量:68 个
本站文章为爬虫采集,如有侵权请告知
本周热门文章
分享图片   2021.04.14 16:51:17  313
Chrome V8 RCE 0day之WeChatWeb   2021.04.17 16:40:17  166
面试官常考的 21 条 Linux 命令   2021.04.12 08:00:59  110
Windows手工入侵排查思路   2021.04.13 08:00:49  96
[工具]勒索病毒解密工具汇总   2021.04.12 10:14:58  72
近期CNVD重大漏洞汇总   2021.04.15 18:20:29  71
印度海量持卡人数据泄露,达8.2TB
本文来自公众号:黑白之道   2021.04.03 09:04:20

文章来 源: 红数位

金融科技平台MobiKwik因隐藏泄露了近8.2TB数据的数据泄露而受到批评,其中包括敏感记录,例如KYC详细信息,电话号码,地址和Adhaar卡数据。


MobiKwik自称是印度最大的独立发行人的数字金融服务平台,利用了先进的产品和商户获取功能。它是印度移动钱包领域无可争议的第二大玩家,并且是印度支付网关行业前三名的玩家。它拥有超过300万直接商家,140多个帐单和1.07亿多用户的网络。它每天记录超过100万笔交易。


MobiKwik由Bipin Preet Singh和Upasana Taku于2009年成立, 得到了包括红杉资本,美国运通,Tree Line Asia,联发科,GMO Payment Gateway,思科投资,Net1和Bajaj Finance在内的众多投资者的支持。



安全研究人员Rajeshkhar Rajaharia于2021年2月首次报道了泄漏事件。但是,该公司当时否认了这一消息,但仍未接受该违规行为的发生。


实际上,MobiKwik公司在一条推文中公开侮辱了该研究人员,称他为“媒体疯狂的所谓安全研究人员”,他“正拼命地试图引起媒体的关注”。



黑客的细节


根据Rajaharia在2月26日发布的推文,大约1千万持卡人印度人被一家印度公司的服务器泄露。该推文中写道:


“据称有1千万(1100万)印度持卡人的卡数据,包括个人详细信息和KYC软拷贝(PAN,Aadhar等)从公司在印度的服务器中泄露。6 TB的KYC数据和350 GB的压缩MySQL转储”。



随后,研究人员将该公司确定为MobiKwik,该公司将自己称为“真正的印度支付应用程序”。他进一步声称,该公司删除了关于另一起发生在2010年的数据泄露事件的旧帖子。但是,MobiKwik表示该消息仍然存在,没有被删除。


法国黑客罗伯特·巴蒂斯特(Robert Baptiste)在Twitter上使用化名埃利奥特·奥尔德森(Elliot Alderson)称,周一发生了黑客攻击。Baptiste在其推文中指出,这可能是最大的KYC数据泄露事件。


“可能是历史上最大的KYC数据泄漏。恭喜Mobikwik…”


Baptiste还发布了暴露数据的屏幕截图,并透露泄漏的数据库包含36,099,759个文件和将近350万人的KYC数据。



如你所看到的,泄漏的数据包含用户的自拍照,Adhaar卡,ID卡和其他敏感数据。


在暗网数据被出售


昨天,据报道与暗网相关的链接开始在线传播,其中包含泄露的MobiKwik数据。许多用户确认看到了该链接上的详细信息,并发布了数据的屏幕截图。


密码已加密或屏蔽,但其他详细信息未加密。 该数据以1.5比特币的价格出售,约合86000美元。 基于钦奈的支付平台和钱包MobiKwik的一位用户发布了消息,他在网上流通的链接上看到了包含他的姓名,银行帐户详细信息和地址的数据。


用户说:“我的所有详细信息,包括姓名,地址,银行帐户详细信息,都在独立研究人员共享的链接上显示。”


黑客将可搜索链接放在暗网上, 8.2TB的MobiKwik用户数据被盗


现在,未知的黑客已将数据上传到暗网上。该网站允许用户搜索其数据是否涉及违规。


MobiKwik的声明


MobiKwik似乎从一开始就处于拒绝模式。该公司发言人表示,这是媒体疯狂的人们的攻击,他们正在展示“混合文件”并浪费时间,因为该公司找不到任何安全漏洞。


“一些被媒体疯狂的所谓的安全研究人员反复尝试展示伪造的文件,这浪费了我们组织以及媒体成员的宝贵时间。我们进行了彻底调查,未发现任何安全漏洞。我们的用户和公司数据是完全安全的。”


350万用户面临风险


我们暂时不能确定地说是否发生了数据泄露。但是,如果是真的,并且两个研究人员共享的细节都是正确的,那么起码千万级MobiKwik用户可能会容易受到骗局的攻击。 除了要求公司减轻风险外 ,他们无能为力。 对密码进行加密后,还可以使用其他重要数据,例如PAN卡,Aadhaar卡 ,电子邮件ID,联系电话和地址。 因此,数据库中列出的任何人都将仍然容易受到攻击。


根据小编观察,相关文件的确已在海量往外泄露。


精彩推荐








千万别碰!买卖比特币“跑分”盈利8500元被认定协助洗钱,被判刑四年!







“猫池”藏“猫腻” “黑科技”成“帮凶”?








2021,越自律,越自由!网络安全就业班开班通知!






多一个点在看

多一条小鱼干