A Dave-felhasználók bejelentkezési adatai harmadik fél általi megsértés után kiszivárognak

Dave Third-Party Data Breach

A Rólunk oldal szerint a Dave egy olyan pénzügyi alkalmazás, amelyet néhány barát összegyűjtése után hoztak létre, és úgy döntöttek, hogy az online banki élményt kellemesebbé teszik az amerikai polgárok számára. Ugyanez az oldal elég merészen állítja, hogy Dave a pénzügyi területeket „feltalálta”, és úgy tűnik, hogy több mint 7 millió felhasználó egyetért ezzel a kijelentéssel. Sajnos ezeknek a felhasználóknak a személyes adatai egy adatsértésnek köszönhetően kerültek nyilvánosságra.

A Dave felhasználói adatait tartalmazó adatbázist egy hackelési fórumra tették közzé

Július 25-én a felhasználó azt mondta a ZDNet-nek, hogy egy számítógépes bűnöző népszerű hackelési fórumot használt a Dave-felhasználók lopott személyes adatainak terjesztésére. Az adatbázis valamivel több, mint 7,5 millió rekordot tartalmazott, és a ZDNet megerősítést kapott Dave-től, hogy az abban lévő adatok valók.

A pénzügyi alkalmazás fejlesztői azonban azt állították, hogy a jogsértés egy korábbi partnernél történt. A szóban forgó partner neve WayDev, és nyilvánvalóan Dave-nak adatanalitikai szolgáltatásokat nyújtott. Dave később hivatalos nyilatkozatot tett közzé az ügyben.

Azt kell mondani, hogy a WayDev még nem hivatalosan megerősítette vagy tagadta az állítólagos adatmegsértést. Ha a támadás valóban a WayDevnél történt, sok kérdést kell megválaszolni. Nagyon sokan szeretnék tudni, hogy van-e olyan egyéb társaság, amelyet a támadás sújt. Érdekes azt is megtudni, hogy a WayDev miért rendelkezik a Dave ügyféladatainak másolatával a partnerség megszűnése után.

Miközben az emberek elgondolkodnak ezekre a kérdésekre a lehetséges válaszokon, az adatok kiszivárgott felhasználóinak azonban tudniuk kell, mit kell figyelni.

Felhasználónevek, kivonatos jelszavak és személyes adatok kerültek nyilvánosságra

Dave nyilatkozata rámutat arra, hogy a kiszivárgott adatbázis nem tartalmaz semmilyen bankszámlaszámot, hitelkártya-adatot vagy pénzügyi tranzakciók nyilvántartását. Van benne a társadalombiztosítási szám, de titkosítva van.

Rengeteg személyes információ került közzétételre, ideértve a neveket, az e-mail címet és a fizikai címeket, a telefonszámokat és a születési időket. A Dave felhasználóinak bejelentkezési adatait szintén beillesztették, bár a jelszavakat bcrypt-sel hasították fel, és a hackereknek nehéz lesz beolvasni a sima szöveges bejelentkezési adatokat. Ez azonban nem azt jelenti, hogy nem próbálkoznak.

Dave nyilatkozata szerint a hackerek azt állítják, hogy sikerült megtörniük néhány jelszót. Az alkalmazás fejlesztői együttműködnek a bűnüldöző szervekkel és kivizsgálják ezeket az állításokat. Időközben a Dave-felhasználóknak emlékezniük kell arra, hogy bárki, aki rendelkezik internet-kapcsolattal, letöltheti és visszaélheti személyes adatait.

Az adatok ingyenesen elérhetők

Az adatokra mutató linkeket egy Clearnet hackelési fórumon tették közzé, ami azt jelenti, hogy ehhez még a Tor böngészőre nincs szüksége. Ezt egy számítógépes bűnöző töltötte fel, aki a Shiny Hunters becenév alatt áll, és kicsit hírneve nagy mennyiségű lopott információ kiszivárogtatására.

Májusban a Shiny Hunters egyedül bátorította 11 különféle online szolgáltatás megsértését és 160 millió rekord ellopását. Akkoriban a hackerek megpróbálták pénzt keresni az ellopott adatokkal, és az adatbázisokat 500 és 23 ezer dollár közötti áron kínálták. Ezúttal azonban a Shiny Hunters nagylelkűnek érzi magát, és ingyenesen kínálja Dave ügyféladatait, ezáltal még inkább valódi veszélyt jelent a felhasználók számára.

July 29, 2020

Válaszolj