Des chercheurs en sécurité dénoncent MobiKwik pour une fuite de données KYC

  • FrançaisFrançais


  • L’Inde prévoit d’interdire la crypto-monnaie depuis quelques mois en présentant un projet de loi contre elle au parlement, invoquant des préoccupations concernant sa vie privée et l’augmentation des actifs numériques non comptabilisés. Cela est considéré comme une décision plutôt surprenante, car le pays préconise depuis longtemps l’utilisation de portefeuilles numériques et d’options de paiement en introduisant son interface de paiement basée sur UPI, BHIM, en 2016. Suite à la poursuite, de nombreuses sociétés de paiement privées sont venues rapidement et ont établi eux-mêmes rapidement. L’un de ces acteurs est la société de paiement numérique MobiKwik. Des chercheurs indépendants en sécurité cités dans cet article indiquent que MobiKwik a accidentellement divulgué des données de 3,5 millions utilisateurs, qui est maintenant en vente sur le dark web pour 1,5 BTC (environ 84 000 $). CISO MAG ne peut pas le confirmer et ne fait que rapporter ce que les chercheurs déclarent.

    KYC (Know Your Customer) est un processus de vérification qui permet à une institution de confirmer et ainsi vérifier l’authenticité de son client. Certains détails d’identité tels que le numéro PAN, le numéro Aadhaar, les adresses, les adresses e-mail, les numéros de compte bancaire et les numéros de téléphone sont enregistrés pour vérifier l’identité et l’adresse du client. KYC est un processus obligatoire pour les institutions financières en Inde, pour l’intégration de nouveaux clients.

    Points saillants

    • La fuite de données a été signalée pour la première fois par un chercheur indépendant en sécurité Rajshekhar Rajaharia dans Février 2021.
    • Selon la série de tweets de Rajaharia, 11 crore Les données des titulaires de cartes indiennes ont été divulguées d’un serveur d’entreprise en Inde, et la fuite initiale a été contenue 6 To de données KYC et 350 Go de vidage MySQL compressé.
    • Les résultats ont ensuite été mis à jour et reconfirmés par un autre chercheur portant le nom du pseudonyme Twitter “Elliot Anderson, “Qui a partagé le crédit avec un autre pseudo Twitter nommé”UnderTheBreach».
    • MobiKwik a cependant nié toutes ces allégations de violation de données et n’a constaté aucune défaillance de sécurité de leur part.

    Les données MobiKwik brisent la plus grande fuite de données KYC?

    Rajaharia a soulevé pour la première fois le drapeau à propos de cette violation de données le 26 février 2021. Dans une série de tweets, il a présenté des détails sur le moment et sur quel ensemble d’informations ont été divulguées.

    Cependant, MobiKwik a contrecarré ses affirmations en déclarant: «Nous avons mené une enquête approfondie sur ses allégations et n’avons trouvé aucun défaut de sécurité.»

    Mais contre le cours du jeu, un autre utilisateur appelé «Elliot Anderson», le 29 mars 2021, tweeté que les données de MobiKwik avaient effectivement été violées et que l’acteur menaçant avait par la suite créé un forum sur le dark web pour sa vente.

    Violation de données MobiKwik, tweet d'Elliot Anderson
    Crédit d’image: Elliot Alderson Tweet

    Selon l’image du forum partagée par Anderson, il s’agit de la «plus grande fuite de données KYC jamais vue». L’acteur de la menace a également donné la possibilité aux acheteurs intéressés de rechercher des numéros de téléphone ou n’importe quelle chaîne comme preuve de concept. La base de données semble cependant être plus grande que ce que Rajaharia avait noté. Il est 8,2 To en taille et contient 36099759 fiches avec 99224559 détails PII critiques des utilisateurs, qui inclut numéros de téléphone, e-mails, mots de passe hachés, adresses, coordonnées bancaires et de carte, numéros de PAN et de cartes Aadhar, etc.

    Comme Rajaharia l’a suggéré précédemment dans son tweet, nous tenons à réitérer la même chose: «Les entreprises devraient assumer la responsabilité des données des utilisateurs fortement. Une politique de divulgation des fuites de données devrait également être en place. » Parce que cacher les violations ne fait que garder les clients vulnérables à l’air libre.

    Il serait maintenant intéressant de voir la position de MobiKwik sur ces résultats. La balle est maintenant dans son camp. Était-ce vraiment une brèche? Ou était-ce juste un vidage de données d’une autre violation? Nous vous tiendrons informé.

    Nouvelles connexes:

    Source

    Laisser un commentaire

    Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *