Il a déjà été qualifié de plus grande fuite KYC jamais vue. Des chercheurs indépendants en cybersécurité ont affirmé qu’une base de données contenant les détails KYC de près de 3,5 millions d’utilisateurs de l’application de paiement indienne MobiKwik, en plus des données personnelles et de paiement d’environ 99224559 utilisateurs, est en vente sur le Dark Web.
D’abord tweeté par le chercheur indépendant en cybersécurité, Rajshekhar Rajaharia, puis confirmé par le chercheur français Elliot Alderson, (qui l’a appelé le la plus grande fuite de KYC), la violation présumée est rattachée à 8,2 To de données contenant les numéros de téléphone, les e-mails, les mots de passe, les adresses, les comptes bancaires et les détails de la carte Aadhaar des utilisateurs.
Mobikwik a nié la violation.
Mais un lien du dark web est disponible en ligne, et plusieurs utilisateurs de Twitter ont affirmé y voir leurs informations personnelles.
Certains d’entre eux ont même publié des captures d’écran des données utilisateur présumées de MobiKwik, qui auraient été mises en vente pour 1,5 bitcoin ou environ 86000 $ (Rs 69 lakh) sur un forum de hackers populaire.
Sommaire
MobiKwik nie la violation et déclare intenter une action en justice contre un chercheur
11 Les données des Crore Indian CardHolders auraient été divulguées de @MobiKwik Server, a déclaré Hacker. Il semble que les hackers aient toujours leurs données. La sauvegarde aurait été prise le 20 janvier 2021. Il prétend avoir accès à mobikwik depuis 30 jours. @RBI @IndianCERT Veuillez examiner cette question. # InfoSec #GDPR pic.twitter.com/tBS3U6Oqhw4 mars 2021
« Un soi-disant chercheur en sécurité fou des médias a présenté à plusieurs reprises au cours de la semaine dernière des fichiers concoctés faisant perdre un temps précieux à notre organisation tout en essayant désespérément d’attirer l’attention des médias. Nous avons mené une enquête approfondie sur ses allégations et n’avons trouvé aucune défaillance de la sécurité. » MobiKwik a tweeté de sa poignée officielle.
Les données de nos utilisateurs et de notre entreprise sont totalement sûres et sécurisées. Les différents exemples de fichiers texte qu’il a présentés ne prouvent rien. N’importe qui peut créer de tels fichiers texte pour harceler à tort toute entreprise, a-t-il ajouté.
MobiKwik a également déclaré que son équipe juridique poursuivrait l’action contre le chercheur.
Le vendeur dit que les données peuvent être utilisées pour obtenir des prêts
Le refus ne correspond pas au fait que le vendeur du forum des hackers a également qualifié la source de MobiKwik. Dans tous les cas, les échantillons de données divulguées contiennent des images de codes QR MobiKwik.
Selon un rapport de TechNadu, « pour le prix fixé de 1,5 BTC (84 000 $), un acheteur peut obtenir la totalité de la base de données et mettre le portail Web sombre hors ligne, tout en conservant l’exclusivité. »
Le vendeur des données a également affirmé que les entrées du commerçant pouvaient être utilisées pour contracter des prêts en se faisant passer pour le commerçant.
« Le vendeur affirme que chacune des entrées marchandes de la base de données peut être utilisée pour lever des prêts de 500 à 1000 dollars en monnaie indienne, de sorte que l’investissement du 1,5 BTC pourrait prétendument rapporter jusqu’à trois milliards de dollars », a ajouté le rapport TechNadu.
La fuite MobiKwik est réelle. Voici ce que le dépotoir avait pour moi. Une de ces cartes de crédit était valide jusqu’à il y a quelques semaines, et je ne me souviens pas avoir autorisé MobiKwik à la sauvegarder. Les entreprises qui mentent comme 👇 devraient être emmenées chez les nettoyeurs. https://t.co/sptyC1Jz8f pic.twitter.com/c4Uu25OviP29 mars 2021
Le vidage de données contiendrait 350 Go de vidages MySQL ou 500 bases de données, 99 millions de courriers électroniques, de téléphone, de mots de passe, d’adresses physiques, d’adresse IP, de localisation GPS et de données relatives à l’appareil, ainsi que 40 millions d’enregistrements de numéros de carte, de dates d’expiration, de carte hachages (cryptés SHA256).
En outre, il dispose également de 7,5 To de données KYC marchandes concernant 3,5 millions de commerçants. Détails des passeports, cartes Aadhaar, cartes PAN, selfies, autres preuves photographiques et autres informations utilisées par MobiKwik pour fournir des prêts à ces clients.
Pour mémoire, MobiKwik avait levé la semaine dernière 7,2 millions de dollars lors d’un tour de table avant la cotation en bourse.
