Inloggegevens van Dave-gebruikers worden gelekt na een inbreuk van derden
Volgens de pagina Over ons is Dave een financiële app die is gemaakt nadat een paar vrienden bij elkaar waren gekomen en besloten de ervaring met online bankieren voor Amerikaanse burgers aangenamer te maken. Dezelfde pagina beweert nogal stoutmoedig dat Dave veel financiële gebieden heeft 'heruitgevonden' en het lijkt erop dat meer dan 7 miljoen gebruikers het met deze stelling eens zijn. Helaas is de persoonlijke informatie van die gebruikers bekendgemaakt dankzij een datalek.
Table of Contents
Een database vol met Dave-gebruikersgegevens werd op een hackforum geplaatst
Op 25 juli vertelde een gebruiker aan ZDNet dat een cybercrimineel een populair hackforum gebruikte om de gestolen persoonlijke gegevens van Dave-gebruikers te verspreiden. De database bevatte iets meer dan 7,5 miljoen records en ZDNet ontving een bevestiging van Dave dat de gegevens erin echt zijn.
De ontwikkelaars van de financiële app zeiden echter dat de inbreuk plaatsvond bij een voormalige partner. De partner in kwestie heet WayDev en blijkbaar heeft Dave gegevensanalyseservices geleverd. Dave heeft later een officiële verklaring over deze kwestie afgegeven.
Het moet gezegd dat WayDev het vermeende datalek nog niet officieel heeft bevestigd of ontkend. Als de aanval inderdaad bij WayDev is gebeurd, moeten er nogal wat vragen worden beantwoord. Veel mensen zouden bijvoorbeeld willen weten of er andere bedrijven zijn die door de aanval zijn getroffen. Het is ook interessant om erachter te komen waarom WayDev een kopie van Dave's klantgegevens had nadat de samenwerking was beëindigd.
Terwijl mensen nadenken over de mogelijke antwoorden op deze vragen, moeten de gebruikers die hun gegevens hebben gelekt, weten waar ze op moeten letten.
Gebruikersnamen, gehashte wachtwoorden en persoonlijke gegevens werden getoond
Dave's verklaring wijst erop dat de gelekte database geen bankrekeningnummers, creditcardgegevens of gegevens over financiële transacties bevat. Er staan sofinummers in, maar ze zijn gecodeerd.
Er werd veel persoonlijke informatie onthuld, waaronder namen, e-mailadressen en fysieke adressen, telefoonnummers en geboortedata. De inloggegevens van Dave's gebruikers waren ook inbegrepen, hoewel de wachtwoorden gehasht zijn met bcrypt en de hackers het moeilijk zullen hebben om de inloggegevens in platte tekst op te halen. Dit betekent echter niet dat ze het niet zullen proberen.
Volgens de verklaring van Dave beweren hackers dat ze erin zijn geslaagd enkele wachtwoorden te kraken. De ontwikkelaars van de app werken samen met wetshandhavingsinstanties en onderzoeken deze claims. In de tussentijd moeten Dave-gebruikers onthouden dat iedereen met een internetverbinding hun persoonlijke informatie kan downloaden en misbruiken.
De gegevens zijn gratis beschikbaar
Links naar de gegevens zijn gepost op een Clearnet-hackforum, wat betekent dat je niet eens een Tor-browser nodig hebt om erbij te komen. Het is geüpload door een cybercrimineel die de bijnaam Shiny Hunters draagt en een beetje een reputatie heeft voor het lekken van grote hoeveelheden gestolen informatie.
In mei schepte Shiny Hunters op over eigenhandig 11 verschillende online services in gevaar te brengen en 160 miljoen records te stelen. Destijds probeerde de hacker geld te verdienen met de gestolen gegevens en bood hij de databases aan voor prijzen tussen $ 500 en $ 23 duizend. Deze keer voelt Shiny Hunters zich echter genereus en biedt Dave's klantgegevens gratis aan, waardoor het gevaar voor gebruikers des te reëler wordt.