Daveユーザーのログイン認証情報がサードパーティの違反後に漏洩する
「 About us」ページによると、Daveは友人たちが集まり、オンラインバンキングエクスペリエンスを米国市民にとってより楽しいものにすることを決めた後に作成された金融アプリです。同じページは、デイブが多くの財務分野を「再発明」したとかなり大胆に主張しており、700万人以上のユーザーがこの声明に同意しているようです。残念なことに、これらのユーザーの個人情報は、データ侵害のおかげで公開されています。
Table of Contents
Daveのユーザーデータでいっぱいのデータベースがハッキングフォーラムに投稿されました
7月25日、ユーザーはZDNetに、サイバー犯罪者が人気のあるハッキングフォーラムを使用して、盗まれたDaveユーザーの個人情報を配布していることを伝えました。データベースは750万を少し超えるレコードを保持し、ZDNetはDaveからデータベース内のデータが本物であるという確認を受け取りました。
ただし、金融アプリの開発者たちは、以前のパートナーで侵害が発生したと述べています。問題のパートナーはWayDevと呼ばれ、Daveにデータ分析サービスを提供したようです。デイブは後にこの件に関する公式声明を発表した。
WayDevはまだ申し立てられたデータ侵害を公式に確認または否定していないと言わなければなりません。 WayDevで実際に攻撃が行われた場合、かなりの数の質問に答える必要があります。たとえば、攻撃によって影響を受けた他の会社があるかどうか、多くの人が知りたいと思います。パートナーシップの終了後に、WayDevがDaveの顧客データのコピーを持っていた理由を知ることも興味深いです。
しかし、人々がこれらの質問に対する潜在的な答えを熟考している間、データを漏らしたユーザーは、何に注意すべきかを知る必要があります。
ユーザー名、ハッシュ化されたパスワード、個人情報が公開された
Daveの声明は、漏えいしたデータベースには銀行口座番号、クレジットカードの詳細、または金融取引の記録が含まれていないことを指摘しています。その中に社会保障番号がありますが、それらは暗号化されています。
名前、メールアドレス、住所、電話番号、生年月日など、多くの個人情報が公開されました。 Daveのユーザーのログイン資格情報も含まれていますが、パスワードはbcryptでハッシュされているため、ハッカーはプレーンテキストのログインデータを取得するのに苦労します。しかし、これは彼らがしようとしないわけではありません。
デイブの声明によると、ハッカーはいくつかのパスワードを解読したと主張しています。アプリの開発者は法執行機関と提携しており、これらの主張を調査しています。その間、Daveのユーザーは、インターネットに接続している人なら誰でも自分の個人情報をダウンロードして悪用できることを覚えておく必要があります。
データは無料で利用できます
データへのリンクはClearnetのハッキングフォーラムに投稿されました。つまり、データにアクセスするためにTorブラウザを必要としません。これは、Shiny Huntersというニックネームで呼ばれるサイバー犯罪者によってアップロードされたもので、盗まれた大量の情報を漏らしたことで少し評判があります。
5月 、シャイニーハンターズは11の異なるオンラインサービスを独力で侵害し、1億6千万件のレコードを盗んだことを自慢しました。当時、ハッカーは盗んだデータを収益化しようとしており、500ドルから23千ドルの価格でデータベースを提供していました。しかし今回は、Shiny Huntersが寛大に感じ、Daveの顧客データを無料で提供しているため、ユーザーにとっての危険はますます現実のものとなっています。