100 Milyondan Fazla Kredi, Banka Kartı Sahiplerinin Verileri Dark Web’e Sızdı

0
135

Bir güvenlik araştırmacısına göre, 100 milyondan fazla kredi ve banka kartı sahibinin hassas verileri karanlık Web’de sızdırıldı. Veriler, kart sahiplerinin tam adları, telefon numaraları ve e-posta adreslerinin yanı sıra kartlarının ilk ve son dört hanesini içeriyordu. Diğerlerinin yanı sıra Amazon, MakeMyTrip ve Swiggy gibi Hintli ve küresel tüccarlar için işlemleri işleyen ödeme platformu Juspay ile ilişkilendirilmiş gibi görünüyor. Bengaluru merkezli girişim, Ağustos ayında bazı kullanıcı verilerinin tehlikeye atıldığını kabul etti.

Gadgets 360 ile paylaşılan dosyalar, karanlık Web’de ortaya çıkan verilerin en azından Mart 2017 ile Ağustos 2020 arasında gerçekleşen çevrimiçi işlemlerle ilgili olduğunu gösteriyor. Birkaç Hintli kart sahibinin kişisel bilgilerini, kartların son kullanma tarihleri, müşteri kimlikleri ve kartların ilk ve son dört hanesi tamamen görünür şekilde maskelenmiş kart numaralarıyla birlikte içeriyordu. Ancak, belirli işlem veya sipariş ayrıntıları, görünüşe göre sızıntının bir parçası değildir.

Ortaya çıkan ayrıntılar, etkilenen kart sahiplerine kimlik avı saldırıları gerçekleştirmek için dolandırıcılar tarafından dökümde bulunan iletişim bilgileriyle birleştirilebilir.

Siber güvenlik araştırmacısı Rajshekhar Rajaharia, veri dökümünü bu hafta başlarında keşfetti. Gadgets 360’a, sızan verilerin karanlık Web’de bir bilgisayar korsanı tarafından satıldığını söyledi.

Rajaharia, “Bilgisayar korsanı Telegram üzerinden alıcılarla iletişime geçiyordu ve Bitcoin ile ödeme istiyordu” dedi.

Gadgets 360’a, veri dökümünün karanlık Web’de Juspay adıyla satıldığını ve bazı gözlemler üzerine şirket ile bağlantısını bulabildiğini söyledi. Şirket ayrıca, Gadgets 360’a yönelik bir veri ihlali olduğunu doğruladı, ancak daha fazla ayrıntı sağlamadı.

Araştırmacı, Juspay ile olan ilişkisini doğrulamak için bilgisayar korsanından aldığı MySQL dökümü örnekleri dosyalarında bulunan veri alanlarını bir Juspay API Belgesi dosyasıyla karşılaştırdığını söyledi. “İkisi de tamamen aynıydı,” dedi.

Juspay’in kurucusu Vimal Kumar, en son veri sızıntısı ile ilgili herhangi bir ayrıntı sunmadan, Gadgets 360’a 18 Ağustos’ta, devam ederken sonlandırılan bir “yetkisiz girişimin tespit edildiğini” söyledi.

Kumar bir e-postada “Hiçbir kart numarası, finansal kimlik bilgisi veya işlem verilerinin güvenliği ihlal edilmedi” dedi. “Anonim olmayan e-posta, telefon numaraları ve görüntüleme amacıyla kullanılan maskeli kartları içeren veri kayıtları (hassas kabul edilmeyen kartın ilk dört ve son dört hanesini içerir) ele geçirildi.”

Kumar, e-posta ve mobil bilgilerin “10 crore kaydın küçük bir kısmı” olduğunu ve çoğu bilginin sunucularda anonimleştirildiğini ekledi. Ayrıca, 10 crore kaydının kart ayrıntıları olmadığını ve kullanıcıların e-posta ve mobil bilgilerini içeren bir alt kümeyle müşteri meta verileri olduğunu iddia etti.

“Sızan maskelenmiş kart verilerinde (gösterim için kullanılan hassas olmayan veriler) iki crore kaydı var. Kart kasamız farklı bir PCI uyumlu sistemde ve asla erişilmedi ”dedi.

Rajaharia, maskelenmesine rağmen, bir bilgisayar korsanının kart parmak izleri için kullanılan algoritmayı bulması durumunda kart numaralarının şifresinin çözülebileceğini iddia etti. Ancak Kumar araştırmacıyla aynı fikirde değildi.

“Birden fazla algoritma ile yüzlerce tur hash işlemi yapıyoruz ve ayrıca bir tuzumuz var (kart numarasına eklenen başka bir numara). Yeterli bilgi işlem kaynağı olsa bile, kullandığımız algoritmalara tersine mühendislik uygulamak şu anda mümkün değil ”dedi.

Juspay, birkaç gün önce siber güvenlik ortağı Cyble’den hala değerlendirmekte olduğu bazı veri örnekleri aldı. Kumar, Gadgets 360’a, Juspay’in, sunucularına yetkisiz erişimi gözlemlediği gün satıcı ortaklarını bilgilendirdiğini söyledi.

Yönetici ayrıca, şirket geliştiriciler tarafından kullanılan bazı eski erişim anahtarlarında güvenlik açıklarını belirledi ve ekipleri tarafından erişilen tüm araçlar için iki faktörlü kimlik doğrulamayı (2FA) zorunlu hale getirdi.

Ancak Rajaharia, Juspay’in güvenlik tarafının hala o kadar sağlam olmadığını söylüyor. Gadgets 360’a, şirketin sitesinde şu anda kötü amaçlı web sitelerine yönlendiren bir yapılandırma sorunu fark ettiğini söyledi.

Kumar, “Kullanılmayan eski bir etki alanı (bir beta test ürünü için kullanılır), sunucusunda bu içeriğe sahip olan başka bir AWS kullanıcısı tarafından geri alınan bir AWS İnternet Protokolüne (IP) işaret ediyordu” dedi.

Juspay sitesinde bulunan detaylar, günde 50 milyon kullanıcıya ulaşan 150’den fazla kişiden oluşan bir ekibe sahip olduğunu gösteriyor. Ürünlerinin günlük dört milyondan fazla işlemi işlediği iddia ediliyor ve sistem geliştirme kitleri (SDK’lar) 100 milyondan fazla cihazda mevcut. Amazon, Airtel, Flipkart, Vi (Vodafone Idea), Swiggy ve Uber gibi şirketler, müşterileri için ödeme sağlayan ana müşterileri arasındadır.

2012’de kurulan Juspay, PCI Güvenlik Standartları Konseyi tarafından ödeme satıcılarına verilen en yüksek uyum düzeyi olan Ödeme Kartı Sektörü Veri Güvenliği Standardı (PCI DSS) Uyumluluk Düzeyi 1’e sahiptir.

Rajaharia, geçen ay karanlık Web’den sızan yedi milyon Hintli kredi ve banka kartı sahibinin kişisel verilerini buldu. 1.3 milyondan fazla Hintli bankacılık müşterisinin hassas verileri de 2019’da karanlık Web’de göründü.

Uzmanlar, ülke dijital altyapısını genişlettikçe, ancak siber güvenlik ile ilgili uygun düzenlemeler olmadığı için Hindistan’da veri sızıntılarının daha yaygın hale geldiğine sık sık dikkat çekiyor. Bir gizlilik koruma yasasının olmaması, ülkede faaliyet gösteren şirketlere kullanıcı verilerini sıkı bir şekilde koruma zorunluluğu getirmiyor.

2021’in en heyecan verici teknoloji lansmanı ne olacak? Bunu, Apple Podcasts, Google Podcasts veya RSS aracılığıyla abone olabileceğiniz, bölümü indirebileceğiniz veya aşağıdaki oynat düğmesine basabileceğiniz haftalık teknoloji podcastimiz Orbital’de tartıştık.

CEVAP VER

Lütfen yorumunuzu giriniz!
Lütfen isminizi buraya giriniz