Les identifiants de connexion des utilisateurs de Dave sont divulgués après une violation par un tiers
Selon sa page À propos de nous, Dave est une application financière créée après que des amis se soient réunis et aient décidé de rendre l'expérience bancaire en ligne plus agréable pour les citoyens américains. La même page affirme plutôt hardiment que Dave a «réinventé» de nombreux domaines de la finance, et il semble que plus de 7 millions d'utilisateurs sont d'accord avec cette déclaration. Malheureusement, les informations personnelles de ces utilisateurs ont été exposées grâce à une violation de données.
Table of Contents
Une base de données pleine de données utilisateur Dave a été publiée sur un forum de piratage
Le 25 juillet, un utilisateur a déclaré à ZDNet qu'un cybercriminel utilisait un forum de piratage populaire pour diffuser les informations personnelles volées des utilisateurs de Dave. La base de données contenait un peu plus de 7,5 millions d'enregistrements, et ZDNet a reçu une confirmation de Dave que les données qu'elle contient sont réelles.
Les développeurs de l'application financière ont cependant déclaré que la violation s'était produite chez un ancien partenaire. Le partenaire en question s'appelle WayDev et a apparemment fourni à Dave des services d'analyse de données. Dave a publié plus tard une déclaration officielle à ce sujet.
Il faut dire que WayDev n'a pas encore officiellement confirmé ou nié la violation de données alléguée. Si l'attaque a effectivement eu lieu chez WayDev, de nombreuses questions doivent trouver une réponse. Beaucoup de gens voudraient savoir, par exemple, s'il y a d'autres entreprises touchées par l'attaque. Il est également intéressant de savoir pourquoi WayDev avait une copie des données client de Dave après la fin du partenariat.
Alors que les gens réfléchissent aux réponses potentielles à ces questions, les utilisateurs qui ont fait divulguer leurs données doivent savoir ce qu'ils doivent rechercher.
Les noms d'utilisateur, les mots de passe hachés et les détails personnels ont été exposés
La déclaration de Dave souligne que la base de données divulguée n'inclut aucun numéro de compte bancaire, détails de carte de crédit ou enregistrements de transactions financières. Il contient des numéros de sécurité sociale, mais ils sont cryptés.
De nombreuses informations personnelles ont été exposées, notamment des noms, des adresses électroniques et physiques, des numéros de téléphone et des dates de naissance. Les informations de connexion des utilisateurs de Dave ont également été incluses, bien que les mots de passe soient hachés avec bcrypt, et les pirates auront du mal à récupérer les données de connexion en texte brut. Cela ne veut pas dire qu'ils n'essaieront pas, cependant.
Selon la déclaration de Dave, les pirates prétendent avoir réussi à déchiffrer certains des mots de passe. Les développeurs de l'application travaillent en partenariat avec les forces de l'ordre et enquêtent sur ces allégations. En attendant, les utilisateurs de Dave doivent se rappeler que toute personne disposant d'une connexion Internet peut télécharger et utiliser à mauvais escient ses informations personnelles.
Les données sont disponibles gratuitement
Des liens vers les données ont été publiés sur un forum de piratage Clearnet, ce qui signifie que vous n'avez même pas besoin d'un navigateur Tor pour y accéder. Il a été téléchargé par un cybercriminel surnommé Shiny Hunters et a la réputation de divulguer de grandes quantités d'informations volées.
En mai, Shiny Hunters s'est vanté d'avoir à lui seul compromis 11 services en ligne différents et volé 160 millions de disques. À l'époque, le pirate essayait de monétiser les données volées et offrait les bases de données à des prix compris entre 500 et 23 000 dollars. Cette fois, cependant, Shiny Hunters se sent généreux et offre gratuitement les données client de Dave, ce qui rend le danger pour les utilisateurs d'autant plus réel.