Dave'o vartotojų prisijungimo duomenys bus nutekinti po trečiųjų šalių pažeidimų
Kaip rašoma puslapyje Apie mus, Dave'as yra finansinė programa, sukurta po to, kai keli draugai susibūrė ir nusprendė padaryti internetinės bankininkystės patirtį malonesnę JAV piliečiams. Tame pačiame puslapyje gana drąsiai teigiama, kad Dave'as „išrado“ daugybę finansų sričių ir panašu, kad daugiau nei 7 milijonai vartotojų sutinka su šiuo teiginiu. Deja, dėl duomenų pažeidimo buvo atskleista šių vartotojų asmeninė informacija.
Table of Contents
Duomenų bazės, kurioje pilna „Dave“ vartotojų duomenų, buvo paskelbta įsilaužimų forume
Liepos 25 d. Vartotojas „ ZDNet“ pasakojo, kad elektroninis kriminalistas naudojasi populiarių įsilaužimų forumu, siekdamas išplatinti pavogtą „Dave“ vartotojų asmeninę informaciją. Duomenų bazėje buvo šiek tiek daugiau nei 7,5 milijono įrašų, o „ZDNet“ gavo Dave patvirtinimą, kad joje esantys duomenys yra tikri.
Finansinės programos kūrėjai vis dėlto teigė, kad pažeidimas įvyko pas buvusį partnerį. Aptariamas partneris vadinamas WayDev ir, matyt, Dave'ui teikė duomenų analizės paslaugas. Vėliau Dave'as paskelbė oficialų pareiškimą šiuo klausimu.
Reikia pasakyti, kad „WayDev“ dar turi oficialiai patvirtinti arba paneigti tariamą duomenų pažeidimą. Jei išpuolis iš tikrųjų įvyko „WayDev“, reikia atsakyti į keletą klausimų. Daugybė žmonių norėtų žinoti, pavyzdžiui, ar yra kokių nors kitų įmonių, nukentėjusių nuo išpuolio. Taip pat įdomu sužinoti, kodėl „WayDev“ turėjo Dave'o klientų duomenų kopiją pasibaigus partnerystėms.
Žmonės mąsto apie galimus atsakymus į šiuos klausimus, tačiau vartotojai, iš kurių duomenys nutekėjo, turi žinoti, į ką turėtų atkreipti dėmesį.
Buvo paviešinti naudotojų vardai, maišyti slaptažodžiai ir asmeninė informacija
Dave'o pareiškime pabrėžiama, kad nutekėjusioje duomenų bazėje nėra jokių banko sąskaitų numerių, kreditinės kortelės duomenų ar įrašų apie finansines operacijas. Joje yra socialinės apsaugos numeriai, tačiau jie yra užšifruoti.
Buvo paviešinta daug asmeninės informacijos, įskaitant vardus, el. Pašto adresus ir fizinius adresus, telefonų numerius ir gimimo datas. Taip pat buvo įtraukti Dave'o vartotojų prisijungimo duomenys, nors slaptažodžiai yra maišyti su bcrypt, o įsilaužėliams bus sunku gauti paprasto teksto prisijungimo duomenis. Vis dėlto tai nereiškia, kad jie nemėgins.
Remiantis Dave'o pareiškimu, įsilaužėliai tvirtina, kad jiems pavyko nulaužti kai kuriuos slaptažodžius. Programos kūrėjai bendradarbiauja su teisėsaugos institucijomis ir tiria šiuos ieškinius. Tuo tarpu „Dave“ vartotojai turi atsiminti, kad visi, turintys interneto ryšį, gali atsisiųsti ir netinkamai naudoti savo asmeninę informaciją.
Duomenys yra prieinami nemokamai
Nuorodos į duomenis buvo paskelbtos „Clearnet“ įsilaužimų forume, o tai reiškia, kad norint patekti į jį net nereikia „Tor“ naršyklės. Jį įkėlė kibernetinis kriminalistas, pravarde „Shiny Hunters“, turintis gerą vardą dėl to, kad skleidžia didelį kiekį pavogtos informacijos.
Gegužės mėnesį „ Shiny Hunters“ gąsdino, kad vienas kitam kompromituoja 11 skirtingų internetinių paslaugų ir pavogė 160 milijonų įrašų. Tuomet įsilaužėlis bandė užsidirbti iš pavogtų duomenų ir siūlydavo duomenų bazes nuo 500 iki 23 tūkst. USD. Tačiau šį kartą „Shiny Hunters“ jaučiasi dosniai ir siūlo Dave'o klientų duomenis nemokamai, todėl pavojus vartotojams tampa dar realesnis.