Co się stało podczas wycieku danych Juspay i co możesz z tym zrobić?
Na początku stycznia 2012 r. Juspay, podmiot przetwarzający płatności i bramka płatności z siedzibą w Indiach, ujawnił wyciek danych z milionów rekordów baz danych posiadaczy kart. Firma opublikowała w tej sprawie wpis na blogu 5 stycznia.
Wyciek danych nastąpił z powodu słabo zabezpieczonego serwera używanego przez firmę i sięga późnego lata 2020 roku.
Jak to się stało?
W drugiej połowie sierpnia 2020 roku Juspay dowiedział się o nieautoryzowanym dostępie do posiadanej bazy danych. Baza danych była hostowana na serwerze Amazon Web Services, który używał starego hasła. Hasło było nie tylko stare, ale zostało ponownie użyte.
Dane należące do 35 milionów klientów, w tym zamaskowane dane kart, które firma opisała jako „używane głównie do celów wyświetlania w interfejsie sprzedawcy”. Juspay stwierdził, że dane te nie mogą być wykorzystane do wykonania lub zakończenia transakcji.
Juspay wyraźnie stwierdził, że ujawnione informacje nie zawierały pełnych numerów kart, szczegółów zamówienia, haseł ani kodów PIN kart. Mimo to Juspay wyszczególnił, że wyciek zawierał identyfikatory e-mail i numery telefonów w postaci zwykłego tekstu.
Juspay w rzeczywistości oskarżył również niektóre media, nazywając ich relację z przecieku „sensacją” wydarzenia. Chociaż oczywiście nie jest to najbardziej dramatyczne lub wpływowe naruszenie danych w kraju, biorąc pod uwagę, że skradzione dane zostały wystawione na sprzedaż w ciemnej sieci za skromne 5000 USD, nie jest to również coś do całkowitego odrzucenia.
W odpowiedzi na incydent Juspay zresetował hasła użytkowników i włączył uwierzytelnianie dwuskładnikowe na wszystkich kontach. Środki te są powszechne w następstwie podobnych incydentów.
Jeśli w jakiś sposób należysz do użytkowników, których dotyczy problem, najlepszą rzeczą, jaką możesz zrobić, jest ponowne potwierdzenie nowego hasła po wymuszonej zmianie i dalsze przestrzeganie najlepszych praktyk bezpieczeństwa.
Nigdy nie używaj ponownie haseł na różnych urządzeniach lub usługach, nigdy nie udostępniaj haseł nawet bliskim przyjaciołom i krewnym oraz próbuj używać haseł, które są na tyle złożone, że mogą wytrzymać brutalną siłę.