Cosa è successo nella fuga di dati di Juspay e cosa puoi fare al riguardo?
All'inizio di gennaio 2012 Juspay, un elaboratore di pagamenti e gateway con sede in India, ha rivelato una fuga di dati di milioni di record di database di titolari di carta. L'azienda ha pubblicato un post sul blog sulla questione il 5 gennaio.
La fuga di dati è avvenuta a causa di un server mal protetto utilizzato dall'azienda e risale alla fine dell'estate del 2020.
Come è successo tutto?
Già nella seconda metà di agosto 2020, Juspay è venuta a conoscenza di un accesso non autorizzato a un database di sua proprietà. Il database era ospitato su un server Amazon Web Services che utilizzava una vecchia password. La password non era solo vecchia, era riutilizzata.
Dati che appartenevano a 35 milioni di clienti, inclusi i dati delle carte mascherate che la società ha descritto come "utilizzati principalmente a scopo di visualizzazione sull'interfaccia utente del commerciante". Juspay ha affermato che i dati non possono essere utilizzati per eseguire o completare una transazione.
Juspay ha dichiarato specificamente che le informazioni trapelate non contenevano numeri di carta completi, dettagli dell'ordine, password o PIN della carta. Nonostante ciò, Juspay ha spiegato che la fuga di notizie conteneva ID e-mail e numeri di telefono in chiaro.
Juspay in realtà ha anche accusato alcuni media, definendo la loro copertura della fuga di notizie "sensazionalizzante". Anche se ovviamente non è la violazione dei dati più drammatica o di impatto nel paese, dato che i dati rubati sono stati messi in vendita sul dark web per un magro $ 5.000, non è nemmeno qualcosa da respingere completamente.
In risposta all'incidente, Juspay ha reimpostato le password degli utenti e abilitato l'autenticazione a due fattori su tutti gli account. Queste misure sono comuni all'indomani di incidenti simili.
Se in qualche modo fai parte degli utenti interessati, la cosa migliore che puoi fare è riconfermare la tua nuova password dopo il passaggio forzato e continuare ad aderire alle migliori pratiche di sicurezza.
Non riutilizzare mai le password su dispositivi o servizi, non condividere mai le password nemmeno con amici e parenti stretti e provare a utilizzare password sufficientemente complesse da resistere alla forzatura.
