MobiKwik遭受重大违约，曝光350万用户的KYC数据

流行的印度移动支付服务莫比维克在本月早些时候曝光的一次重大数据泄露事件之后，数百万用户的8.2 TB数据开始在黑暗的网络上传播，周一遭到攻击。

泄露的数据包括敏感的个人信息，例如：

• 客户名称，
• 散列密码，
• 电子邮件地址，
• 住宅地址，
• GPS定位，
• 已安装应用的列表，
• 部分隐藏的信用卡号，
• 关联银行账户和相关账号，以及
• 了解350万用户的客户（KYC）文档。

更糟糕的是，泄密还表明，MobiKwik即使在用户删除了卡信息后，也不会从其服务器上删除这些卡信息，这很可能违反了政府法规。

New guidelines issued by India's apex banking institution, the Reserve Bank of India, prohibit online merchants, e-commerce websites, and payment aggregators from storing card details of a customer online. The rules are set to come into effect starting July 2021.

截至2020年7月，MobiKwik为全国1.2亿用户和300万零售商提供服务。

该数据泄露网站可通过Tor浏览器访问，拥有36099759条记录。在独立安全研究人员Rajshekhar Rajaharia的报告发布后，这家数字钱包公司于3月4日强烈否认了这一事件，随后该网站上线。

MobiKwik在推特上写道：“一位媒体狂热的所谓安全研究员在过去一周里反复提交伪造文件，浪费了我们组织的宝贵时间，同时拼命试图吸引媒体的注意力。”。“我们彻底调查了他的指控，没有发现任何安全漏洞。他展示的各种文本文件样本证明不了什么。任何人都可以创建此类文本文件来虚假骚扰任何公司。”

然而，多个用户却证实了这一点，他们在“MobiKwik India data leak”网站上找到了自己的个人信息，从而为这一违规行为提供了证据。

“永远不要像@MobiKwik在25天前的帖子中那样行事，”安全研究员、漏洞通知工具的创建者特洛伊·亨特（Troy Hunt）在一条推文中说，并呼吁MobiKwik处理这种情况。

据接近事件的消息人士透露，2月24日，在一个数据库泄露论坛上，一名黑客声称可以从一家未具名的Paytm竞争对手那里访问6TB数据，这一妥协最初是在广告中宣传的。

有趣的是，在Rajaharia披露了泄露信息、泄露了公司身份并通过电子邮件警告MobiKwik之后，该公司同时采取措施阻止黑客下载数据。

“我们[…]无法访问公司的主要服务器，这并不奇怪。。。“无法下载任何新内容，”一天后，黑客在论坛帖子中说，并补充说，部分下载的数据可能已被破坏。

“反正我们从来都不想要钱，所以也不难过。但KYC有史以来最大的黑客攻击之一！！！或者我们是这么想的。：（所以，我想我渐渐老了，说我过去经常黑客攻击和拉屎。而不是真的黑客攻击和拉屎。不过令人兴奋的一个月！！！”黑客说，这意味着攻击可以追溯到1月，与拉贾哈里亚3月4日的推文相呼应。

但一个月后，在3月27日的另一份清单中，黑客声称，“我们恢复了所有数据，并将其出售”，以1.5比特币（85684.65美元）的价格提供了据称为8TB的数据。

然而，在一个有趣的转折点上，将数据出售的计划似乎已经暂停，直到另行通知。“只有在适当核实我们正在与该公司打交道后，才能将其出售给该公司，”黑客在更新中说，暗示这是一个勒索计划。

目前尚不清楚威胁行为人是如何获得对MobiKwik服务器的未经授权访问权限的，但黑客说，“这会让公司感到尴尬。以后再说吧……”（原文如此）

在获得回复时，MobiKwik的一位发言人淡化了该漏洞，称该黑暗网站上共享的数据尚未从其自身的服务器中检索到。该公司还表示，正在与相关部门合作，对其平台进行安全审计。

“一些用户报告说，他们的数据在黑暗网络上是可见的。在我们调查这一点时，任何用户都有可能在多个平台上上传了自己的信息。因此，暗示黑暗网络上可用的数据是从MobiKwik或任何确定的来源访问的是不正确的。”

“作为一个受监管的实体，该公司非常重视其数据安全，并完全遵守适用的数据安全法律。该公司在其PCI-DSS和ISO认证下接受严格的合规措施，包括年度安全审计和季度渗透测试，以确保其平台的安全。一旦据报道，该公司在外部安全专家的帮助下进行了彻底调查，没有发现任何违规证据。该公司正就此事与必要的权威机构密切合作，考虑到指控的严重性，将让第三方进行法医数据安全审计。对于用户，该公司重申，所有MobiKwik账户和余额都是完全安全的。"