印度海量持卡人数据泄露，达8.2TB

金融科技平台MobiKwik因隐藏泄露了近8.2TB数据的数据泄露而受到批评，其中包括敏感记录，例如KYC详细信息，电话号码，地址和Adhaar卡数据。

MobiKwik自称是印度最大的独立发行人的数字金融服务平台，利用了先进的产品和商户获取功能。它是印度移动钱包领域无可争议的第二大玩家，并且是印度支付网关行业前三名的玩家。它拥有超过300万直接商家，140多个帐单和1.07亿多用户的网络。它每天记录超过100万笔交易。

MobiKwik由Bipin Preet Singh和Upasana Taku于2009年成立，得到了包括红杉资本，美国运通，Tree Line Asia，联发科，GMO Payment Gateway，思科投资，Net1和Bajaj Finance在内的众多投资者的支持。

8.2TB 数据暗网出售

3月29日，印度移动支付服务商MobiKwik 8.2TB 数据在暗网出售，泄露的数据涉及350万用户数据。其中涉及的个人敏感数据包括：

• 姓名；
• 哈希后的口令；
• 邮件地址；
• 居住地址；
• GPS 位置信息；
• 安装的APP 列表；
• 信用卡的部分号码；
• 连接的银行账户和相关的账号；
• 350万用户的know your customer (KYC，了解你的客户)文档。

该起数据泄露事件还表明，在用户删除自己的卡信息后，MobiKwik没有从服务器删除相关信息。

截止2020年6月，MobiKwik共有1.2亿用户和300万零售商。数据泄露的网站共有3600万条记录。但MobiKwik官方否认了这一数据泄露事件，称公司进行了调查，并没有发现任何的安全漏洞。泄露的数据样本文件也与公司数据库文件不一致。

安全研究人员Rajeshkhar Rajaharia于2021年2月首次报道了泄漏事件。但是，该公司当时否认了这一消息，但仍未接受该违规行为的发生。

实际上，MobiKwik公司在一条推文中公开侮辱了该研究人员，称他为“媒体疯狂的所谓安全研究人员”，他“正拼命地试图引起媒体的关注”。

黑客的细节

根据Rajaharia在2月26日发布的推文，大约1千万持卡人印度人被一家印度公司的服务器泄露。该推文中写道：

“据称有1千万（1100万）印度持卡人的卡数据，包括个人详细信息和KYC软拷贝（PAN，Aadhar等）从公司在印度的服务器中泄露。6 TB的KYC数据和350 GB的压缩MySQL转储”。

随后，研究人员将该公司确定为MobiKwik，该公司将自己称为“真正的印度支付应用程序”。他进一步声称，该公司删除了关于另一起发生在2010年的数据泄露事件的旧帖子。但是，MobiKwik表示该消息仍然存在，没有被删除。

法国黑客罗伯特·巴蒂斯特（Robert Baptiste）在Twitter上使用化名埃利奥特·奥尔德森（Elliot Alderson）称，周一发生了黑客攻击。Baptiste在其推文中指出，这可能是最大的KYC数据泄露事件。

“可能是历史上最大的KYC数据泄漏。恭喜Mobikwik…”

Baptiste还发布了暴露数据的屏幕截图，并透露泄漏的数据库包含36,099,759个文件和将近350万人的KYC数据。

泄漏的数据包含用户的自拍照，Adhaar卡，ID卡和其他敏感数据。其中包含泄露的MobiKwik数据。许多用户确认看到了该链接上的详细信息，并发布了数据的屏幕截图。

密码已加密或屏蔽，但其他详细信息未加密。该数据以1.5比特币的价格出售，约合86000美元。基于钦奈的支付平台和钱包MobiKwik的一位用户发布了消息，他在网上流通的链接上看到了包含他的姓名，银行帐户详细信息和地址的数据。

用户说：“我的所有详细信息，包括姓名，地址，银行帐户详细信息，都在独立研究人员共享的链接上显示。”

现在，未知的黑客已将数据上传到暗网上。该网站允许用户搜索其数据是否涉及违规。

MobiKwik的声明

MobiKwik似乎从一开始就处于拒绝模式。该公司发言人表示，这是媒体疯狂的人们的攻击，他们正在展示“混合文件”并浪费时间，因为该公司找不到任何安全漏洞。

“一些被媒体疯狂的所谓的安全研究人员反复尝试展示伪造的文件，这浪费了我们组织以及媒体成员的宝贵时间。我们进行了彻底调查，未发现任何安全漏洞。我们的用户和公司数据是完全安全的。”

350万用户面临风险

我们暂时不能确定地说是否发生了数据泄露。但是，如果是真的，并且两个研究人员共享的细节都是正确的，那么起码千万级MobiKwik用户可能会容易受到骗局的攻击。除了要求公司减轻风险外，他们无能为力。对密码进行加密后，还可以使用其他重要数据，例如PAN卡，Aadhaar卡，电子邮件ID，联系电话和地址。因此，数据库中列出的任何人都将仍然容易受到攻击。

根据小编观察，相关文件的确已在海量往外泄露。

声明：本网站发布的图片均以转载为主，如果涉及侵权请尽快告知，我们将会在第一时间删除。本站原创内容未经允许不得转载，或转载时需注明出处：GDCA数安时代