Mobikwik, l’une des plates-formes de paiement numérique les plus en vue de l’Inde, fait face à ce qui a été revendiqué comme une des plus grandes violations de données du genre. Le vendredi 26 mars, le chercheur indépendant en cybersécurité Rajshekhar Rajaharia a informé News18 d’un vidage massif de données sur le dark web. Le chercheur, qui avait précédemment allégué qu’une violation de données directe de l’un des serveurs de Mobikwik avait révélé des données personnelles et sensibles de près de 11 utilisateurs de crore plus tôt en mars, a partagé la preuve de la violation de données de Mobikwik qui était, et est toujours, en direct dans une base de données. sur le Web sombre. Les pirates qui ont apparemment exploité la violation de données Mobikwik l’auraient vendue pour 1,5 BTC (environ Rs 63,7 lakh)-ce qui n’est pas beaucoup d’argent pour une mine de données d’une telle ampleur.
Que fait le Mobikwik les violations de données incluent
News18 pourrait accéder indépendamment au vidage de données de 8,2 To, qui est toujours actif via un lien TOR. Les données divulguées qui ont été stockées dans la base de données ont été initialement mises à disposition pour une recherche publique, à l’aide desquelles les utilisateurs pouvaient compter leurs adresses e-mail et leurs numéros de téléphone qui auraient pu être hébergés sur les serveurs Mobikwik prétendument violés. La fonction de recherche de cette base de données, qui permettait aux utilisateurs d’y accéder et de rechercher leurs propres données dans ce vaste trésor, a maintenant été désactivée pour empêcher les robots d’automatiser la recherche et de récupérer les données sensibles des utilisateurs. Cependant, la violation de données de Mobikwik semble toujours rester en ligne, News18 peut le confirmer. La base de données hébergée indique en outre que de nombreuses données ont maintenant été masquées afin d’empêcher des acteurs malveillants d’utiliser abusivement les informations hébergées en ligne.
La violation de données Mobikwik prétend avoir 3,61 crore fichiers qu’il contient, qui contient des données KYC (Know Your Customer) appartenant à près de 35 personnes lakh. Il prétend également avoir 9,92 crores d’entrées de données qui incluent”les numéros de téléphone des utilisateurs, les e-mails, les mots de passe hachés, les adresses, les comptes bancaires et les détails de la carte.”Rajaharia a déclaré à News18 qu’il avait déjà informé l’équipe indienne d’intervention en cas d’urgence informatique (CERT-In) et avait également partagé des transcriptions de sa conversation officielle avec Mobikwik.
Que dit Mobikwik jusqu’à présent
Bien que le CERT-In n’ait pas encore répondu à la plainte de Rajaharia, Mobikwik est également resté silencieux sur la question. Un porte-parole de Mobikwik, en réponse à la demande de commentaire de News18, a soutenu la réponse initiale de Mobikwik à ce sujet il y a environ un mois-qui a maintenant a également été republié par le co-fondateur de Mobikwik, Upasana Taku. Le porte-parole a également confirmé à News18 que la société publierait bientôt une déclaration révisée sur la question, mais s’en tient largement à sa position initiale sur la question.
Le 4 mars, répondant à des informations faisant état de fuites de données liées à près de 11 crores en ligne, Mobikwik avait riposté en s’adressant au lanceur d’alerte comme”un soi-disant fou des médias chercheur en sécurité », et a qualifié les allégations de violation de données de Mobikwik de« fichiers concoctés, faisant perdre un temps précieux à l’organisation ». La société a en outre affirmé qu’elle avait mené une enquête approfondie sur les allégations, mais n’avait constaté aucune défaillance de la sécurité.
Ce que dit la communauté de la cybersécurité
Alors que Mobikwik continue de nier ses allégations de violation de données, la communauté de la cybersécurité a largement soutenu Rajaharia et ses rapports. Le chercheur français en cybersécurité Robert Baptiste, qui s’appelle Elliot Alderson sur Twitter, a souligné que la fuite de données était «probablement la plus grande fuite de données KYC de l’histoire». Une autre source crédible qui a soutenu les rapports de violation de données de Mobikwik est Alon Gal, fondateur et CTO de la startup Hudson Rock. En sauvegardant le message de Baptiste sur Twitter, Gal a publié des détails sur ces «énormes» données brèche, avant d’ajouter: «Pour chaque individu, il y a juste une quantité incroyable d’informations, ce n’est vraiment qu’un piratage dévastateur et toutes les données sont mises en vente par les acteurs de la menace. [sic] ”
Troy Hunt, créateur d’un mot de passe et d’un compte bien connus violés tracker Have I Been Pwned, a également publié sur la violation de données critiquant la réponse de Mobikwik à Les rapports. De tels rapports sur la violation de données Mobikwik restent uniformes dans la communauté de la cybersécurité, et News18 pourrait indépendamment confirmer que les bases de données prétendant provenir de serveurs Mobikwik contiennent des morceaux de données utilisateur avec des informations sensibles et identifiables. Un exemple de dossier de données piraté auquel News18 pourrait accéder sauvegarde également toutes les réclamations faites par la communauté de sécurité, même si l’entreprise continue de nier la violation.
Kiran Jonnalagadda , co-fondateur de Hasgeek, a également soutenu les affirmations, offrant des preuves telles que des entrées de contacts dans la décharge de données. Cependant, Jonnalagadda souligne également que si toutes ces informations sont très convaincantes en ce moment, le hachage des mots de passe de Mobikwik dans sa base de données de serveur semble tenir, ce qui signifie que les mots de passe divulgués ne peuvent pas être inversés et utilisés pour violer des comptes. Cela signifie que jusqu’à ce que Mobikwik accepte la violation, toutes ces données resteront circonstancielles, bien que très fortement.
Jonnalagadda a également partagé un lot d’informations de base intéressant, qui comprend des informations telles que d’autres applications sur le téléphone d’un utilisateur et leurs coordonnées GPS, faisant allusion au type de données que l’application Mobikwik installée est censée collecter en arrière-plan à partir du téléphone d’un utilisateur. Mobikwik s’est également abstenu de confirmer la même chose.
Que devez-vous faire maintenant?
Même si aucune confirmation d’entreprise n’a été émise jusqu’à présent , il serait bon de mettre à jour tous les mots de passe précédemment enregistrés. Non seulement il serait prudent de mettre à jour votre compte Mobikwik avec de nouveaux mots de passe, mais vous devriez également mettre à jour les mots de passe avec vos adresses e-mail, configurer l’authentification à deux facteurs (2FA), y compris les OTP et les codes de passe fixes, dans la mesure du possible. En outre, supprimez toutes les informations bancaires précédemment enregistrées avec Mobikwik et les services associés, et mettez également à jour leurs codes d’accès en conséquence. Bien que votre compte ne puisse pas être violé grâce à des mots de passe qui auraient été hachés dans la fuite de données, la présence d’autres données identifiables dans cette fuite signifie qu’il n’est peut-être pas prudent de laisser toutes vos informations en ligne, sans mettre à jour vos informations d’identification.