Wat is er gebeurd in het datalek van Juspay en wat kunt u eraan doen?

Begin januari 2012 maakte Juspay, een betalingsverwerker en gateway gevestigd in India, een datalek bekend van miljoenen databaserecords van kaarthouders. Het bedrijf publiceerde op 5 januari een blogpost over de kwestie.

Het datalek is ontstaan door een slecht beveiligde server die door het bedrijf wordt gebruikt en dateert uit de nazomer van 2020.

Hoe is het allemaal gebeurd?

In de tweede helft van augustus 2020 werd Juspay zich bewust van ongeautoriseerde toegang tot een database waarvan het de eigenaar was. De database werd gehost op een Amazon Web Services-server die een oud wachtwoord gebruikte. Het wachtwoord was niet alleen oud, het was ook een hergebruikt wachtwoord.

Gegevens die toebehoorden aan 35 miljoen klanten, waaronder gemaskeerde kaartgegevens die het bedrijf omschreef als "voornamelijk gebruikt voor weergavedoeleinden op de gebruikersinterface van de handelaar". Juspay verklaarde dat de gegevens niet konden worden gebruikt voor het uitvoeren of voltooien van een transactie.

Juspay verklaarde specifiek dat de gelekte informatie geen volledige kaartnummers, bestelgegevens, wachtwoorden of kaartpincodes bevatte. Ondanks dat feit gaf Juspay aan dat het lek e-mail-ID's en telefoonnummers in platte tekst bevatte.

Juspay beschuldigde zelfs enkele mediakanalen en noemde hun berichtgeving over het lek de gebeurtenis "sensationeel". Hoewel het duidelijk niet de meest dramatische of impactvolle datalek in het land is, gezien het feit dat de gestolen gegevens te koop zijn aangeboden op het dark web voor een schamele $ 5.000, is het ook niet iets om volledig te negeren.

Als reactie op het incident heeft Juspay gebruikerswachtwoorden gereset en tweefactorauthenticatie voor alle accounts ingeschakeld. Die maatregelen komen veel voor in de nasleep van soortgelijke incidenten.

Als u op de een of andere manier deel uitmaakt van de getroffen gebruikers, kunt u het beste uw nieuwe wachtwoord opnieuw bevestigen na de gedwongen omschakeling en u blijven houden aan de beste beveiligingspraktijken.

Gebruik wachtwoorden nooit opnieuw op verschillende apparaten of services, deel nooit wachtwoorden, zelfs niet met goede vrienden en familieleden, en probeer wachtwoorden te gebruiken die zo complex zijn dat ze bestand zijn tegen brute force.