印度海量持卡人数据泄露，达8.2TB

文章来源：红数位

金融科技平台MobiKwik因隐藏泄露了近8.2TB数据的数据泄露而受到批评，其中包括敏感记录，例如KYC详细信息，电话号码，地址和Adhaar卡数据。

MobiKwik自称是印度最大的独立发行人的数字金融服务平台，利用了先进的产品和商户获取功能。它是印度移动钱包领域无可争议的第二大玩家，并且是印度支付网关行业前三名的玩家。它拥有超过300万直接商家，140多个帐单和1.07亿多用户的网络。它每天记录超过100万笔交易。

MobiKwik由Bipin Preet Singh和Upasana Taku于2009年成立，得到了包括红杉资本，美国运通，Tree Line Asia，联发科，GMO Payment Gateway，思科投资，Net1和Bajaj Finance在内的众多投资者的支持。

安全研究人员Rajeshkhar Rajaharia于2021年2月首次报道了泄漏事件。但是，该公司当时否认了这一消息，但仍未接受该违规行为的发生。

实际上，MobiKwik公司在一条推文中公开侮辱了该研究人员，称他为“媒体疯狂的所谓安全研究人员”，他“正拼命地试图引起媒体的关注”。 

黑客的细节

根据Rajaharia在2月26日发布的推文，大约1千万持卡人印度人被一家印度公司的服务器泄露。该推文中写道：

“据称有1千万（1100万）印度持卡人的卡数据，包括个人详细信息和KYC软拷贝（PAN，Aadhar等）从公司在印度的服务器中泄露。6 TB的KYC数据和350 GB的压缩MySQL转储”。

随后，研究人员将该公司确定为MobiKwik，该公司将自己称为“真正的印度支付应用程序”。他进一步声称，该公司删除了关于另一起发生在2010年的数据泄露事件的旧帖子。但是，MobiKwik表示该消息仍然存在，没有被删除。

法国黑客罗伯特·巴蒂斯特（Robert Baptiste）在Twitter上使用化名埃利奥特·奥尔德森（Elliot Alderson）称，周一发生了黑客攻击。Baptiste在其推文中指出，这可能是最大的KYC数据泄露事件。

“可能是历史上最大的KYC数据泄漏。恭喜Mobikwik…”

Baptiste还发布了暴露数据的屏幕截图，并透露泄漏的数据库包含36,099,759个文件和将近350万人的KYC数据。  

如你所看到的，泄漏的数据包含用户的自拍照，Adhaar卡，ID卡和其他敏感数据。

在暗网数据被出售

昨天，据报道与暗网相关的链接开始在线传播，其中包含泄露的MobiKwik数据。许多用户确认看到了该链接上的详细信息，并发布了数据的屏幕截图。

密码已加密或屏蔽，但其他详细信息未加密。该数据以1.5比特币的价格出售，约合86000美元。基于钦奈的支付平台和钱包MobiKwik的一位用户发布了消息，他在网上流通的链接上看到了包含他的姓名，银行帐户详细信息和地址的数据。

用户说：“我的所有详细信息，包括姓名，地址，银行帐户详细信息，都在独立研究人员共享的链接上显示。”

黑客将可搜索链接放在暗网上，8.2TB的MobiKwik用户数据被盗

现在，未知的黑客已将数据上传到暗网上。该网站允许用户搜索其数据是否涉及违规。

MobiKwik的声明

MobiKwik似乎从一开始就处于拒绝模式。该公司发言人表示，这是媒体疯狂的人们的攻击，他们正在展示“混合文件”并浪费时间，因为该公司找不到任何安全漏洞。

“一些被媒体疯狂的所谓的安全研究人员反复尝试展示伪造的文件，这浪费了我们组织以及媒体成员的宝贵时间。我们进行了彻底调查，未发现任何安全漏洞。我们的用户和公司数据是完全安全的。”

350万用户面临风险

我们暂时不能确定地说是否发生了数据泄露。但是，如果是真的，并且两个研究人员共享的细节都是正确的，那么起码千万级MobiKwik用户可能会容易受到骗局的攻击。除了要求公司减轻风险外，他们无能为力。对密码进行加密后，还可以使用其他重要数据，例如PAN卡，Aadhaar卡，电子邮件ID，联系电话和地址。因此，数据库中列出的任何人都将仍然容易受到攻击。

根据小编观察，相关文件的确已在海量往外泄露。

精彩推荐

千万别碰！买卖比特币“跑分”盈利8500元被认定协助洗钱，被判刑四年！

“猫池”藏“猫腻” “黑科技”成“帮凶”？

2021，越自律，越自由！网络安全就业班开班通知！

多一个点在看

多一条小鱼干

本文始发于微信公众号（黑白之道）：印度海量持卡人数据泄露，达8.2TB