Mais de 100 milhões de dados de titulares de cartão de crédito e débito vazados na Dark Web

Mais de 100 milhoes de dados de titulares de cartao

Dados confidenciais de mais de 100 milhões de titulares de cartões de crédito e débito vazaram na dark Web, de acordo com um pesquisador de segurança. Os dados incluíam nomes completos, números de telefone e endereços de e-mail dos titulares do cartão, junto com os primeiros e últimos quatro dígitos de seus cartões. Parece ter sido associado à plataforma de pagamentos Juspay que processa transações para comerciantes indianos e globais, incluindo Amazon, MakeMyTrip e Swiggy, entre outros. A startup baseada em Bengaluru reconheceu que alguns de seus dados de usuário foram comprometidos em agosto.

Os dados apresentados na dark Web estão relacionados a transações online que ocorreram pelo menos entre março de 2017 e agosto de 2020, sugerem os arquivos compartilhados com o Gadgets 360. Incluía detalhes pessoais de vários titulares de cartões indianos, juntamente com as datas de validade do cartão, IDs de cliente e números de cartão mascarados com os primeiros e últimos quatro dígitos dos cartões totalmente visíveis. No entanto, dados específicos de uma transação ou pedido aparentemente não fazem parte do vazamento.

Os detalhes apresentados podem ser combinados com as informações de contato disponíveis no despejo por golpistas para executar ataques de phishing nos portadores de cartão afetados.

O pesquisador de cibersegurança Rajshekhar Rajaharia descobriu o despejo de dados no início desta semana. Ele disse ao Gadgets 360 que os dados vazados estavam à venda na dark Web por um hacker.

“O hacker estava entrando em contato com compradores no Telegram e solicitando pagamentos em Bitcoin”, disse Rajaharia.

Ele disse ao Gadgets 360 que o dump de dados estava sendo vendido na dark Web com o nome de Juspay e ele foi capaz de encontrar sua ligação com a empresa após alguma observação. A empresa também confirmou uma violação de dados no Gadgets 360, embora não tenha fornecido mais detalhes.

O pesquisador disse que, para verificar a associação com a Juspay, ele comparou os campos de dados disponíveis nos arquivos de amostras de despejo do MySQL que recebeu do hacker com um arquivo de documento da API da Juspay. “Ambos eram exatamente iguais”, disse ele.

Sem fornecer quaisquer especificações sobre o vazamento de dados mais recente, o fundador da Juspay, Vimal Kumar, disse ao Gadgets 360 que uma “tentativa não autorizada foi detectada” em 18 de agosto, que foi encerrada durante o andamento.

“Nenhum número de cartão, credenciais financeiras ou dados de transações foram comprometidos”, disse Kumar por e-mail. “Registros de dados contendo e-mail não anônimo, números de telefone e cartões mascarados usados ​​para fins de exibição (contém os primeiros quatro e os últimos quatro dígitos do cartão, que não é considerado confidencial), foram comprometidos.”

Kumar acrescentou que o e-mail e as informações móveis eram “uma pequena fração dos registros de 10 crore” e a maioria das informações era anônima nos servidores. Ele também afirmou que os registros de 10 crore não eram os detalhes do cartão e sim os metadados do cliente, com um subconjunto contendo e-mail e informações móveis dos usuários.

“Os dados do cartão mascarado (dados não confidenciais usados ​​para exibição) que vazaram têm dois registros crore. Nosso compartimento de cartão está em um sistema compatível com PCI diferente e nunca foi acessado ”, disse ele.

Rajaharia alegou que apesar de estarem mascarados, os números do cartão poderiam ser descriptografados se um hacker descobrisse o algoritmo usado para as impressões digitais do cartão. No entanto, Kumar não concordou com a pesquisadora.

“Fazemos centenas de rodadas de hash com vários algoritmos e também temos um sal (outro número anexado ao número do cartão). Os algoritmos que usamos atualmente não são possíveis de fazer engenharia reversa, mesmo com recursos de computação suficientes ”, disse ele.

A Juspay recebeu alguns dias de seu parceiro de segurança cibernética Cyble, algumas amostras de dados que ainda está avaliando. Kumar disse ao Gadgets 360 que a Juspay informou seus parceiros comerciais no mesmo dia em que observou o acesso não autorizado a seus servidores.

A empresa também identificou brechas de segurança em algumas de suas chaves de acesso mais antigas usadas por desenvolvedores e tornou a autenticação de dois fatores (2FA) obrigatória para todas as ferramentas acessadas por suas equipes, afirmou o executivo.

No entanto, Rajaharia diz que o lado da segurança de Juspay ainda não é o som. Ele disse ao Gadgets 360 que percebeu um problema de configuração no site da empresa que atualmente está redirecionando para sites maliciosos.

“Um antigo domínio não utilizado (usado para um produto de teste beta) estava apontando para um protocolo de Internet da AWS (IP) que foi reclamado por outro usuário da AWS cujo servidor possui esse conteúdo”, disse Kumar.

Os detalhes disponíveis no site da Juspay exposição que possui uma equipe de mais de 150 pessoas que atinge 50 milhões de usuários diariamente. Seus produtos processam mais de quatro milhões de transações diárias e seus kits de desenvolvimento de sistema (SDKs) estão disponíveis em mais de 100 milhões de dispositivos. Empresas como Amazon, Airtel, Flipkart, Vi (Vodafone Idea), Swiggy e Uber estão entre seus principais clientes, possibilitando pagamentos para seus clientes.

Fundada em 2012, a Juspay detém o Nível 1 de Conformidade do Padrão de Segurança de Dados da Indústria de Cartões de Pagamento (PCI DSS), que é o nível mais alto de conformidade dado pelo PCI Security Standards Council aos comerciantes de pagamento.

No mês passado, Rajaharia descobriu que dados pessoais de sete milhões de titulares de cartões de crédito e débito indianos vazaram da dark Web. Dados confidenciais de mais de 1,3 milhão de clientes bancários indianos também apareceram na dark Web em 2019.

Os especialistas costumam apontar que o vazamento de dados está se tornando mais comum na Índia à medida que o país está expandindo sua infraestrutura digital, mas sem regulamentações adequadas sobre segurança cibernética. A falta de uma lei de proteção à privacidade também não está obrigando as empresas que operam no país a proteger seus dados de usuário com firmeza.


Qual será o lançamento de tecnologia mais emocionante de 2021? Discutimos isso no Orbital, nosso podcast semanal de tecnologia, que você pode assinar via Podcasts da Apple, Podcasts do Google, ou RSS, baixe o episódioou apenas aperte o botão play abaixo.

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *