Dave-brugeres login-legitimationsoplysninger lækkes efter en tredjepartsbrud

Dave Third-Party Data Breach

I henhold til siden Om os er Dave en finansiel app, der blev oprettet efter, at nogle venner mødtes og besluttede at gøre online bankoplevelsen mere behagelig for amerikanske borgere. Den samme side påstår temmelig dristigt, at Dave har 'genopfundet' mange finansieringsområder, og det ser ud til, at mere end 7 millioner brugere er enige i denne erklæring. Desværre er disse brugers personlige oplysninger blevet udsat takket være et dataovertrædelse.

En database fuld af Dave-brugerdata blev lagt på et hackingforum

Den 25. juli fortalte en bruger ZDNet, at en cyberkriminel brugte et populært hackingforum til at distribuere de stjålne personlige oplysninger om Dave-brugere. Databasen indeholdt lidt over 7,5 millioner poster, og ZDNet modtog en bekræftelse fra Dave om, at dataene inde i den er reelle.

Udviklerne af den finansielle app sagde imidlertid, at overtrædelsen skete hos en tidligere partner. Den pågældende partner kaldes WayDev, og den tilsyneladende forsynede Dave med dataanalysetjenester. Dave frigav senere en officiel erklæring om sagen.

Det må siges, at WayDev endnu ikke officielt har bekræftet eller benægtet den påståede dataovertrædelse. Hvis angrebet virkelig skete på WayDev, skal der ganske mange spørgsmål besvares. Masser af mennesker vil gerne vide, om der er andre virksomheder, der er berørt af angrebet. Det er også interessant at finde ud af, hvorfor WayDev havde en kopi af Dave's kundedata, efter at partnerskabet var afsluttet.

Mens folk overvejer de potentielle svar på disse spørgsmål, er de brugere, der fik deres data lækket, dog nødt til at vide, hvad de skal se ud for.

Brugernavne, hashede adgangskoder og personlige oplysninger blev eksponeret

Dave's erklæring påpeger, at den lækkede database ikke indeholder bankkontonumre, kreditkortoplysninger eller poster over finansielle transaktioner. Der er socialsikringsnumre i det, men de er krypterede.

Masser af personlige oplysninger blev udsat, inklusive navne, e-mail og fysiske adresser, telefonnumre og fødselsdato. Login-legitimationsoplysningerne for Dave's brugere var også inkluderet, skønt adgangskoder er hashet med bcrypt, og hackerne vil have svært ved at hente almindelige login-data. Dette betyder dog ikke, at de ikke prøver.

Ifølge Dave's erklæring hævder hackere, at de har formået at knække nogle af adgangskoderne. Appens udviklere samarbejder med de retshåndhævende myndigheder og undersøger disse påstande. I mellemtiden skal Dave-brugere huske, at enhver med en internetforbindelse kan downloade og misbruge deres personlige oplysninger.

Dataene er gratis tilgængelige

Links til dataene blev lagt på et Clearnet-hackingforum, hvilket betyder, at du ikke engang har brug for en Tor-browser for at komme til den. Det blev uploadet af en cyberkriminel, der går under kaldenavnet Shiny Hunters og har lidt af et ry for at lækker store mængder stjålne oplysninger.

I maj pralede skinnende jægere med at gå på kompromis med 11 forskellige onlinetjenester og stjæle 160 millioner poster. Dengang forsøgte hackeren at tjene penge på de stjålne data og tilbød databaserne til priser mellem $ 500 og $ 23.000. Denne gang føler Shiny Hunters sig imidlertid generøs og tilbyder Daves kundedata gratis, hvilket gør faren for brugerne endnu mere reel.

July 29, 2020

Efterlad et Svar