Mobikwik a atténué sa réponse acérée aux affirmations de ce qui a été signalée comme la plus grande violation de données du genre. Après avoir riposté au chercheur indépendant en cybersécurité Rajshekhar Rajaharia dans sa réponse initiale datée du 4 mars, Mobikwik a maintenant publié une déclaration après qu’un vidage de données sur le dark web ait répertorié près de 11 crores de données d’utilisateurs privées et potentiellement sensibles, dont plus de 35 lakh KYC. (Connaissez votre client) dans une base de données de 8,2 To. À présent, l’entreprise a mis en évidence les normes de cybersécurité qu’elle prétend suivre, avant de déclarer qu’elle enquête toujours sur les allégations de violation de données.
Dans sa déclaration officielle, un porte-parole de Mobikwik a déclaré que l’entreprise est”soumise à des mesures de conformité strictes en vertu de ses certifications PCI-DSS, CISA et ISO 27001: 2013. Celles-ci incluent des audits de sécurité annuels et des tests de pénétration trimestriels pour assurer la sécurité de sa plateforme. Dans le cadre du programme de divulgation responsable des vulnérabilités ISO 29147, il dispose d’un programme Bugs Bounty de longue date. » La déclaration nie en outre les allégations selon lesquelles la violation de données Mobikwik proviendrait même des propres serveurs de Mobikwik.
Le reste de la déclaration se lit comme suit:”Certains utilisateurs ont signalé que leurs données sont visibles sur le darkweb. Pendant que nous enquêtons sur cela, il est tout à fait possible qu’un utilisateur ait téléchargé ses informations sur plusieurs plates-formes. Par conséquent, il est incorrect de suggérer que les données disponibles sur le darkweb ont été consultées à partir de MobiKwik ou de toute source identifiée.
“Quand ce problème a été signalé pour la première fois le mois dernier , la société a mené une enquête approfondie avec l’aide d’experts externes en sécurité et n’a trouvé aucune preuve de violation. La société travaille en étroite collaboration avec les autorités compétentes et est convaincue que les protocoles de sécurité pour stocker des données sensibles sont robustes et n’ont pas été violés. Compte tenu de la gravité des allégations, et avec une grande prudence, il demandera à un tiers de mener un audit de sécurité des données médico-légales. »
Mobikwik a en outre abordé sa utilisateurs dans sa déclaration officielle, disant: «Toutes les données financièrement sensibles sont stockées sous forme cryptée dans nos bases de données. Aucune utilisation abusive du solde de votre portefeuille, de votre carte de crédit ou de votre carte de débit n’est possible sans le mot de passe à usage unique (OTP) qui ne concerne que votre numéro de mobile. » La réponse fait suite à la publication de plusieurs chiffres notables de la communauté de la cybersécurité sur la violation de données, certains critiquant l’entreprise pour son manque de réponses conformes à une plainte apparemment grave.
Au moment de la publication, la base de données Web sombre reste active, même si les fonctionnalités de recherche de la base de données ont été désactivées pour empêcher des acteurs malveillants d’utiliser les ressources à mauvais escient, News18 pourrait le confirmer.
