Veiligheid

Betaalapp MobiKwik ontkent dat er klantgegevens van zijn gestolen, heeft geen idee hoe de informatie op het dark web terecht is gekomen: Misschien was het jouw schuld?

De Indiase fabrikant van betaalapps MobiKwik heeft ontkend dat zijn beveiliging is geschonden en zegt dat als het waar is, zoals is beweerd, dat de informatie van zijn klanten op het dark web is verschenen, een ander platform daar volledig verantwoordelijk voor was.

“Sommige gebruikers hebben gemeld dat hun gegevens zichtbaar zijn op het dark web”, staat in een bericht van het bedrijf van 30 maart.

“Terwijl we dit onderzoeken, is het heel goed mogelijk dat elke gebruiker haar of zijn informatie op meerdere platforms heeft geüpload. Daarom is het onjuist om te suggereren dat de gegevens die beschikbaar zijn op het dark web zijn geopend vanuit MobiKwik of een geïdentificeerde bron.”

Beweringen dat klantgegevens door een miskleun uit de systemen van MobiKwik waren overgeheveld, kwamen begin maart naar voren in een tweet van beveiligingsonderzoeker Rajshekhar Rajaharia:

Te midden van zijn ontkenningen en bedreigingen van juridische stappen, zei MobiKwik dat het de mogelijkheid onderzocht dat zijn systemen waren gecompromitteerd en klantrecords waren geëfiltreerd en gelekt. “Toen deze zaak vorige maand voor het eerst werd gemeld, ondernam het bedrijf een grondig onderzoek met de hulp van externe beveiligingsexperts en vond het geen bewijs van een inbreuk”, schreef de biz.

Het bedrijf heeft verklaard “er vertrouwen in te hebben dat beveiligingsprotocollen om gevoelige gegevens op te slaan robuust zijn en niet zijn geschonden.”.

Maar niet zo zeker dat het niet verder graaft. “Gezien de ernst van de aantijgingen, en door overvloedige voorzichtigheid, zal [het bedrijf] een derde partij een forensische gegevensbeveiligingsaudit laten uitvoeren,” schreef het.

Klanten van MobiKwik zeggen dat een steekproef van de gegevens van het bedrijf online en te koop blijft. Er wordt gezegd dat het toegankelijk is via Tor, hoewel slechts af en toe als welke server of infrastructuur dan ook die de buit host, worstelt om aan de vraag van nieuwsgierigen en / of snode te voldoen, of misschien alleen op bepaalde momenten operationeel is.

Onderzoekers en klanten zeggen dat de gelekte gegevens kaartnummers bevatten, het Know Your Customer-nummer dat Indiase financiële instellingen gebruiken om investeerders te identificeren, en mogelijk ook het nationale ID-nummer van India Aadhaar.

Troy Hunt, bedenker van haveibeenpwned.com, sloeg MobiKwik’s behandeling van de vermeende inbreuk. “Van wat ik tot nu toe heb gezien, gaan ze hier allemaal ‘Iraakse minister van Informatie’ over”, twitterde hij, nadat hij de reactie van het Indiase bedrijf als bekende slechtste praktijk had genoemd…

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *