Dave-användares inloggningsuppgifter läcker ut efter en överträdelse från tredje part

Dave Third-Party Data Breach

Enligt sin About us-sida är Dave en finansiell app som skapats efter att några vänner samlades och beslutade att göra onlinebankupplevelsen trevligare för amerikanska medborgare. Samma sida hävdar ganska djärvt att Dave har "uppfunnit" många finansområden, och det ser ut som mer än 7 miljoner användare håller med om detta uttalande. Tyvärr har användarnas personliga information blivit exponerade tack vare ett dataintrång.

En databas full av Dave-användardata publicerades på ett hackforum

Den 25 juli berättade en användare till ZDNet att en cyberbrottsling använde ett populärt hackningsforum för att sprida Dave-användarnas stulna personuppgifter. Databasen innehöll drygt 7,5 miljoner poster, och ZDNet fick en bekräftelse från Dave att uppgifterna i den är verkliga.

Utvecklarna av den finansiella appen sa dock att brottet inträffade hos en tidigare partner. Partneren i fråga heter WayDev, och den tillhandahöll tydligen Dave med dataanalystjänster. Dave släppte senare ett officiellt uttalande i ärendet.

Det måste sägas att WayDev ännu inte officiellt har bekräftat eller förnekat det påstådda dataintrånget. Om attacken verkligen inträffade på WayDev, måste en hel del frågor besvaras. Många människor skulle vilja veta till exempel om det finns några andra företag som drabbats av attacken. Det är också intressant att ta reda på varför WayDev hade en kopia av Daves kunddata efter att partnerskapet hade upphört.

Medan människor funderar över de potentiella svaren på dessa frågor måste de användare som fick sina data läcka veta vad de borde leta efter.

Användarnamn, hashade lösenord och personliga detaljer avslöjades

Dave uttalande påpekar att den läckta databasen inte innehåller några bankkontonummer, kreditkortsuppgifter eller register över finansiella transaktioner. Det finns personnummer i det, men de är krypterade.

Massor av personlig information exponerades, inklusive namn, e-postadress och fysiska adresser, telefonnummer och födelsedatum. Inloggningsuppgifterna för Daves användare ingick också, även om lösenorden är hashade med bcrypt, och hackarna har svårt att hämta inloggningsdata för ren text. Men det betyder inte att de inte kommer att försöka.

Enligt Dave uttalande hävdar hackare att de har lyckats knäcka några av lösenorden. Appens utvecklare samarbetar med brottsbekämpande myndigheter och undersöker dessa påståenden. Under tiden måste Dave-användare komma ihåg att vem som helst med en internetanslutning kan ladda ner och missbruka sin personliga information.

Uppgifterna finns gratis

Länkar till uppgifterna publicerades i ett Clearnet-hackingforum, vilket innebär att du inte ens behöver en Tor-webbläsare för att komma till den. Det laddades upp av en cyberkriminell som går under smeknamnet Shiny Hunters och har lite rykte för att läcka stora mängder stulen information.

I maj skryter Shiny Hunters om att på egen hand kompromissa med 11 olika onlinetjänster och stjäla 160 miljoner poster. Då försökte hackaren att tjäna pengar på de stulna uppgifterna och erbjöd databaserna till priser mellan $ 500 och 23 tusen. Den här gången känner Shiny Hunters emellertid generöst och erbjuder Daves kunddata gratis, vilket gör faran för användarna desto mer verklig.

July 29, 2020

Lämna ett svar