超过 100 亿积分，借记卡持卡人数据在暗网上泄露

平价Neuf 电视团队
发表于一月3 2021

据一位安全研究人员称，超过 100 亿信用卡和借记卡持有人的敏感数据已泄露到暗网上。数据包括持卡人的全名、电话号码和电子邮件地址，以及他们卡的前四位和后四位数字。它似乎与 Juspay 支付平台有关，该平台处理印度和全球商家的交易，包括亚马逊、MakeMyTrip 和 Swiggy 等。这家总部位于班加罗尔的初创公司承认其部分用户数据在 XNUMX 月份遭到泄露。

暗网上出现的数据与至少在 2017 年 2020 月至 360 年 XNUMX 月之间发生的在线交易有关，表明与 Gadgets XNUMX 共享的文件。其中包括几位印度持卡人的个人详细信息以及日期。卡到期，客户 ID 和卡号被屏蔽，卡的前四位和后四位完全可见。然而，特定的交易或订单细节显然不是泄漏的一部分。

骗子可以将表面详细信息与转储中可用的联系信息结合起来，对受影响的持卡人发起网络钓鱼攻击。

网络安全研究员 Rajshekhar Rajaharia 本周早些时候发现了数据转储。他告诉 Gadgets 360，泄露的数据是由黑客在暗网上出售的。

“黑客正在通过 Telegram 联系买家并要求用比特币付款，”Rajaharia 说。

他告诉 Gadgets 360，数据转储在暗网上以 Juspay 的名义出售，并且在几次目击后他能够找到它与公司的联系。该公司还向 Gadgets 360 确认了数据泄露，但没有提供更多细节。

研究人员表示，为了验证与 Juspay 的关联，他将他从黑客那里收到的 MySQL 样本转储文件中可用的数据字段与 Juspay API 文档文件进行了比较。 “两者完全一样，”他说。

Juspay 创始人 Vimal Kumar 在没有提供有关最新数据泄露的详细信息的情况下告诉 Gadgets 360，18 月 XNUMX 日检测到“未经授权的尝试”，并在进行中结束。

“没有卡号、财务 ID 或交易数据被泄露，”库马尔在一封电子邮件中说。 “包含非匿名电子邮件、电话号码和用于显示目的的隐藏卡片（包含卡片的前四位和后四位数字，不属于敏感信息）的数据记录已被泄露。 ”

Kumar 补充说，电子邮件和移动信息只是“10 亿条记录的一小部分”，而且大部分信息在服务器上都是匿名的。他还声称，这 10 亿条记录不是卡片详细信息，而是客户元数据，其中一个子集包含有关用户电子邮件和手机的信息。

“已披露的屏蔽卡数据（用于显示的非敏感数据）有两千万条记录。我们的卡库位于不同的 PCI 兼容系统中，从未被访问过，”他说。

Rajaharia 声称，尽管进行了屏蔽，但如果黑客发现了用于卡指纹的算法，则可以破译卡号。然而，库马尔不同意研究人员的观点。

“我们使用多种算法进行了数百次哈希轮次，并且还有一个盐（卡号后附有另一个数字）。我们使用的算法目前无法用于逆向工程，即使有足够的计算资源，”他说。

Juspay 几天前从他的网络安全合作伙伴 Cyble 那里收到了数据样本，他仍在评估这些样本。 Kumar 告诉 Gadgets 360，Juspay 在发现未经授权访问其服务器的同一天通知了其商家合作伙伴。

这位高管表示，该公司还发现了开发人员使用的一些旧访问密钥中的安全漏洞，并对其团队可以访问的所有工具强制要求进行双因素身份验证 (2FA)。

然而，Rajaharia 表示 Juspay 的安全方面仍然不那么健全。他告诉 Gadgets 360，他注意到该公司网站上的一个配置问题目前正在重定向到恶意网站。

“一个旧的未使用域（用于 Beta 测试产品）指向一个 AWS Internet 协议 (IP)，该协议被另一个 AWS 用户获取，该用户的服务器拥有此内容，”Kumar 说。

Juspay 网站上提供的详细信息显示，它拥有一支超过 150 人的团队，每天有 50 万用户。据说其产品每天处理超过 100 万笔交易，其系统开发套件 (SDK) 可用于超过 XNUMX 亿台设备。亚马逊、Airtel、Flipkart、Vi（Vodafone Idea）、Swiggy 和优步等公司是其主要客户，它们为客户提供支付服务。

Juspay 成立于 2012 年，持有支付卡行业数据安全标准 (PCI DSS) 1 级合规性，这是 PCI 安全标准委员会授予商户支付的最高合规性级别。

上个月，Rajaharia 发现 1,3 万印度信用卡和借记卡持有人的个人数据已泄露到暗网。 2019 年，暗网上也出现了超过 XNUMX 万印度银行客户的敏感数据。

专家经常指出，随着该国扩大其数字基础设施，但没有适当的网络安全法规，数据泄露在印度越来越普遍。隐私法的缺失也不要求在该国运营的公司牢牢保护其用户的数据。

2021 年最激动人心的技术发布是什么？我们在 Orbital 上讨论了它，这是我们的每周技术播客，您可以通过 Apple 播客、谷歌播客或 RSS 订阅，下载该剧集，或者只需点击下面的播放按钮。

Ten articles before and after

Google 發表 Android Wear 2.0，攜手 LG 推出兩款新智慧型手錶（內含可升級更新舊錶款清單） – Telgram.cn

WhatsApp 和 Facebook Messenger 收集的用户数据比其他消息应用程序多得多，揭示了 Apple 的隐私标签 – Telgram.cn

与 Facebook 共享新 WhatsApp 数据政策的 10 个隐藏秘密 – Telgram.cn

無法備份全部訊息的LINE為什麼還要用？協助網友補救LINE訊息後有感 – Telgram.cn

谷歌暂停通话，苹果发布 24 小时警告，发布煽动美国国会大厦暴力的帖子 – Telgram.cn

Instagram DM 提示：如何为 Instagram 帖子添加特殊效果 – Telgram.cn

帶著筆電想找咖啡店？透過這些 Cafe Nomad 聊天機器人讓你在最短時間內找到好店 – Telgram.cn