MobiKwik sufre una brecha importante: datos KYC de 3,5 millones de usuarios expuestos

Popular servicio indio de pagos móviles MobiKwik el lunes fue criticado después de que 8,2 terabytes (TB) de datos pertenecientes a millones de sus usuarios comenzaran a circular en la dark web a raíz de una importante filtración de datos que salió a la luz a principios de este mes.

Los datos filtrados incluyen información personal confidencial como:

  • nombres de clientes,
  • contraseñas cifradas,
  • correos electrónicos,
  • direcciones residenciales,
  • ubicaciones GPS,
  • lista de aplicaciones instaladas,
  • números de tarjetas de crédito parcialmente enmascarados,
  • cuentas bancarias conectadas y números de cuenta asociados, y
  • conozca los documentos de su cliente (KYC) de 3,5 millones de usuarios.

Peor aún, la filtración también muestra que MobiKwik no eliminar la información de la tarjeta de sus servidores incluso después de que un usuario los haya eliminado, en lo que probablemente sea una violación de las regulaciones gubernamentales.

Las nuevas pautas emitidas por la institución bancaria principal de la India, el Banco de la Reserva de la India, prohíben que los comerciantes en línea, los sitios web de comercio electrónico y los agregadores de pagos almacenen los detalles de la tarjeta de un cliente en línea. Las reglas entrarán en vigencia a partir de julio de 2021.

A partir de julio de 2020, MobiKwik atiende a 120 millones de usuarios y 3 millones de minoristas en todo el país.

El sitio de fuga de datos, al que se puede acceder a través del navegador Tor y cuenta con 36.099.759 registros, entró en línea después de que la compañía de billetera digital negara con vehemencia el incidente el 4 de marzo luego de una reporte por un investigador de seguridad independiente Rajshekhar Rajaharia.

«Un supuesto investigador de seguridad enloquecido por los medios ha presentado repetidamente durante la última semana archivos inventados que desperdiciaron un tiempo precioso de nuestra organización mientras trataba desesperadamente de captar la atención de los medios», MobiKwik tuiteó. «Investigamos a fondo sus acusaciones y no encontramos ningún fallo de seguridad. Los diversos archivos de texto de muestra que ha estado mostrando no prueban nada. Cualquiera puede crear tales archivos de texto para acosar falsamente a cualquier empresa».

Sin embargo, múltiples usuarios han confirmado lo contrario, encontrando sus datos personales en el sitio de «fuga de datos de MobiKwik India», dando crédito a la violación.

«Nunca * nunca * te comportes como lo ha hecho @MobiKwik en este hilo de hace 25 días», Troy Hunt, investigador de seguridad y creador de la herramienta de notificación de brechas Have I Been Pwned, dicho en un tweet, denunciando el manejo de la situación por parte de MobiKwik.

Según fuentes cercanas al incidente, el compromiso se anunció originalmente en un foro de filtración de bases de datos el 24 de febrero, con un pirata informático que reclamaba acceso a datos de 6 TB de un competidor de Paytm no identificado.

Curiosamente, parece que después de Rajaharia revelado la filtración, reveló la identidad de la empresa y advirtió a MobiKwik por correo electrónico, la empresa tomó medidas simultáneamente para evitar que el hacker descargara los datos.

«Nosotros […] perdió el acceso a los servidores principales de la compañía, aunque no es sorprendente… No puedo descargar nada nuevo «, dijo el pirata informático en una publicación del foro un día después, y agregó que los datos descargados parcialmente podrían haberse dañado.

«De todos modos, nunca quisimos dinero, así que no me entristece. ¡Pero uno de los trucos más grandes de KYC de la historia! O eso pensamos. 🙁 Entonces, supongo que envejecí diciendo que solía piratear y cagar. En lugar de hacerlo en realidad pirateando y esa mierda. ¡¡¡Emocionante 1 mes !!!», dijo el hacker, lo que implica que la brecha se remonta a enero, haciéndose eco de los tweets de Rajaharia del 4 de marzo.

Pero un mes después, en una lista separada el 27 de marzo, el pirata informático afirmó: «Recuperamos todos los datos y están a la venta», ofreciendo lo que supuestamente son 8 TB de sus datos por 1,5 bitcoins (85.684,65 dólares).

Sin embargo, en un giro interesante de los acontecimientos, los planes para poner los datos a la venta parecen haberse suspendido hasta nuevo aviso. «Solo venda esto a la empresa después de la debida verificación de que estamos tratando con la empresa», dijo el hacker en una actualización, sugiriendo un esquema de extorsión.

No está claro de inmediato cómo el actor de amenazas logró obtener acceso no autorizado a los servidores de MobiKwik, pero el pirata informático dijo: «Será vergonzoso para la empresa. La historia será para otro momento…» (sic)

Cuando se le solicitó una respuesta, un portavoz de MobiKwik restó importancia a la infracción y afirmó que los datos compartidos en el sitio web oscuro no se han recuperado de sus propios servidores. La compañía también dijo que está trabajando con las autoridades pertinentes para llevar a cabo una auditoría de seguridad de su plataforma.

«Algunos usuarios informaron que sus datos son visibles en la web oscura. Mientras investigamos esto, es muy posible que cualquier usuario haya subido su información en múltiples plataformas. Por lo tanto, es incorrecto sugerir que los datos disponibles en la web oscura se ha accedido desde MobiKwik o cualquier fuente identificada».

«Como entidad regulada, la empresa se toma muy en serio la seguridad de sus datos y cumple plenamente con las leyes de seguridad de datos aplicables. La empresa está sujeta a estrictas medidas de cumplimiento en virtud de sus certificaciones PCI-DSS e ISO, que incluyen auditorías de seguridad anuales y pruebas de penetración trimestrales. Tan pronto como se informó el asunto, la empresa llevó a cabo una investigación exhaustiva con la ayuda de expertos en seguridad externos y no encontró ninguna evidencia de una violación.Teniendo en cuenta la gravedad de las acusaciones, pedirá a un tercero que realice una auditoría forense de seguridad de datos. sus usuarios, la empresa reitera que todas las cuentas y saldos de MobiKwik son completamente seguros”.

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática