Τα διαπιστευτήρια σύνδεσης των χρηστών Dave διαρρέουν μετά από παραβίαση τρίτου μέρους

Dave Third-Party Data Breach

Σύμφωνα με τη σελίδα «Σχετικά με εμάς», το Dave είναι μια οικονομική εφαρμογή που δημιουργήθηκε αφού μερικοί φίλοι συγκεντρώθηκαν και αποφάσισαν να κάνουν την εμπειρία διαδικτυακής τραπεζικής πιο ευχάριστη για τους πολίτες των ΗΠΑ. Η ίδια σελίδα υποστηρίζει μάλλον τολμηρά ότι ο Dave έχει «ανακαλύψει εκ νέου» πολλούς τομείς χρηματοδότησης και φαίνεται ότι περισσότεροι από 7 εκατομμύρια χρήστες συμφωνούν με αυτήν τη δήλωση. Δυστυχώς, τα προσωπικά στοιχεία αυτών των χρηστών έχουν εκτεθεί χάρη σε παραβίαση δεδομένων.

Μια βάση δεδομένων γεμάτη δεδομένα χρήστη Dave δημοσιεύτηκε σε ένα φόρουμ εισβολής

Στις 25 Ιουλίου, ένας χρήστης είπε στο ZDNet ότι ένας εγκληματίας στον κυβερνοχώρο χρησιμοποιεί ένα δημοφιλές φόρουμ εισβολής για να διανείμει τα κλεμμένα προσωπικά στοιχεία των χρηστών του Dave. Η βάση δεδομένων διατηρούσε πάνω από 7,5 εκατομμύρια αρχεία και το ZDNet έλαβε επιβεβαίωση από τον Dave ότι τα δεδομένα που περιέχονται σε αυτήν είναι πραγματικά.

Οι προγραμματιστές της οικονομικής εφαρμογής δήλωσαν, ωστόσο, ότι η παραβίαση έγινε σε έναν πρώην συνεργάτη. Ο εν λόγω συνεργάτης ονομάζεται WayDev και προφανώς παρείχε στην Dave υπηρεσίες ανάλυσης δεδομένων. Ο Ντέιβ αργότερα δημοσίευσε επίσημη δήλωση για το θέμα.

Πρέπει να ειπωθεί ότι ο WayDev δεν έχει ακόμη επιβεβαιώσει επίσημα ή αρνηθεί την υποτιθέμενη παραβίαση δεδομένων. Εάν η επίθεση πράγματι συνέβη στο WayDev, πρέπει να απαντηθούν αρκετές ερωτήσεις. Πολλοί άνθρωποι θα ήθελαν να μάθουν, για παράδειγμα, εάν υπάρχουν άλλες εταιρείες που επηρεάζονται από την επίθεση. Είναι επίσης ενδιαφέρον να μάθετε γιατί ο WayDev είχε ένα αντίγραφο των δεδομένων πελατών της Dave μετά τη λήξη της συνεργασίας.

Ενώ οι άνθρωποι συλλογίζονται τις πιθανές απαντήσεις σε αυτές τις ερωτήσεις, ωστόσο, οι χρήστες που διέρρευσαν τα δεδομένα τους πρέπει να γνωρίζουν τι πρέπει να προσέχουν.

Εμφανίστηκαν ονόματα χρήστη, κωδικοί πρόσβασης κατακερματισμού και προσωπικά στοιχεία

Η δήλωση του Dave επισημαίνει ότι η βάση δεδομένων που διέρρευσε δεν περιλαμβάνει αριθμούς τραπεζικών λογαριασμών, στοιχεία πιστωτικής κάρτας ή αρχεία οικονομικών συναλλαγών. Υπάρχουν αριθμοί κοινωνικής ασφάλισης σε αυτό, αλλά είναι κρυπτογραφημένοι.

Εκτέθηκαν πολλά προσωπικά στοιχεία, συμπεριλαμβανομένων ονομάτων, email και φυσικών διευθύνσεων, αριθμών τηλεφώνου και ημερομηνιών γέννησης. Συμπεριλήφθηκαν επίσης τα διαπιστευτήρια σύνδεσης των χρηστών του Dave, αν και οι κωδικοί πρόσβασης έχουν κατακερματιστεί με το bcrypt και οι hackers θα δυσκολευτούν να ανακτήσουν τα δεδομένα σύνδεσης απλού κειμένου. Αυτό όμως δεν σημαίνει ότι δεν θα δοκιμάσουν.

Σύμφωνα με τη δήλωση του Dave, οι χάκερ ισχυρίζονται ότι κατάφεραν να σπάσουν μερικούς από τους κωδικούς πρόσβασης. Οι προγραμματιστές της εφαρμογής συνεργάζονται με υπηρεσίες επιβολής του νόμου και διερευνούν αυτές τις αξιώσεις. Εν τω μεταξύ, οι χρήστες του Dave πρέπει να θυμούνται ότι οποιοσδήποτε έχει σύνδεση στο Διαδίκτυο μπορεί να κατεβάσει και να κάνει κακή χρήση των προσωπικών του στοιχείων.

Τα δεδομένα είναι διαθέσιμα δωρεάν

Οι σύνδεσμοι προς τα δεδομένα δημοσιεύτηκαν σε ένα φόρουμ hacking Clearnet, πράγμα που σημαίνει ότι δεν χρειάζεστε καν ένα πρόγραμμα περιήγησης Tor για να φτάσετε σε αυτό. Μεταφορτώθηκε από έναν εγκληματία στον κυβερνοχώρο που πήγε με το ψευδώνυμο Shiny Hunters και έχει μια φήμη για τη διαρροή μεγάλων ποσοτήτων κλεμμένων πληροφοριών.

Τον Μάιο, οι Shiny Hunters καυχιόντουσαν ότι έκαναν μεμονωμένα συμβιβασμούς 11 διαφορετικών διαδικτυακών υπηρεσιών και έκλεβαν 160 εκατομμύρια δίσκους. Τότε, ο χάκερ προσπαθούσε να δημιουργήσει έσοδα από τα κλεμμένα δεδομένα και προσέφερε τις βάσεις δεδομένων σε τιμές μεταξύ 500 και 23 χιλιάδων $. Αυτή τη φορά, ωστόσο, ο Shiny Hunters αισθάνεται γενναιόδωρος και προσφέρει δωρεάν δεδομένα για τους πελάτες της Dave, καθιστώντας τον κίνδυνο για τους χρήστες ακόμη πιο πραγματικό.

July 29, 2020

Αφήστε μια απάντηση