Mobikwik, l’une des plates-formes de paiement numérique les plus importantes de l’Inde, fait face à ce qui a été revendiqué comme l’une des plus grandes violations de données de ce type. Le vendredi 26 mars, le chercheur indépendant en cybersécurité Rajshekhar Rajaharia a informé News18 d’une vidage massif de données sur le Web sombre. Le chercheur, qui avait précédemment allégué qu’une violation de données directe de l’un des serveurs de Mobikwik avait révélé des données personnelles et sensibles de près de 11 utilisateurs de crore plus tôt en mars, a partagé la preuve de la violation de données de Mobikwik qui était, et est toujours, en direct dans une base de données. sur le Web sombre. Les pirates qui ont apparemment exploité la violation de données Mobikwik l’auraient vendue pour 1,5 BTC (environ Rs 63,7 lakh) – ce qui n’est pas beaucoup d’argent pour une mine de données d’une telle ampleur.

Que comprend la violation de données Mobikwik

News18 pourrait accéder indépendamment au vidage de données de 8,2 To, qui est toujours en direct via un lien TOR. Les données divulguées qui ont été stockées dans la base de données ont été initialement mises à disposition pour une recherche publique, à l’aide desquelles les utilisateurs pouvaient compter leurs adresses e-mail et leurs numéros de téléphone qui auraient pu être hébergés sur les serveurs Mobikwik prétendument violés. La fonction de recherche de cette base de données, qui permettait aux utilisateurs d’y accéder et de rechercher leurs propres données dans ce vaste trésor, a maintenant été désactivée pour empêcher les robots d’automatiser la recherche et de récupérer les données sensibles des utilisateurs. Cependant, la violation de données de Mobikwik semble toujours rester en ligne, News18 peut le confirmer. La base de données hébergée indique en outre qu’un grand nombre de données ont maintenant été masquées afin d’empêcher les acteurs malveillants d’utiliser abusivement les informations hébergées en ligne.

LIRE AUSSI | Le département de la santé du Bengale occidental a laissé plus de 1 rapports Lakh Covid-19 exposés à la recherche publique

La violation de données Mobikwik prétend contenir 3.61 fichiers crore, qui contiennent des données KYC (Know Your Customer) appartenant à près de 35 personnes lakh. Il prétend également avoir 9,92 crores d’entrées de données qui incluent «les numéros de téléphone des utilisateurs, les e-mails, les mots de passe hachés, les adresses, les comptes bancaires et les détails de la carte». Rajaharia a déclaré à News18 qu’il avait déjà informé l’équipe indienne d’intervention en cas d’urgence informatique (CERT-In) et avait également partagé des transcriptions de sa conversation officielle avec Mobikwik.

Que dit Mobikwik jusqu’à présent

Bien que le CERT-In n’ait jusqu’à présent donné aucune réponse à la plainte de Rajaharia, Mobikwik est également restée silencieuse sur la question. Un porte-parole de Mobikwik, en réponse à la demande de commentaire de News18, a soutenu la réponse initiale de Mobikwik à ce sujet il y a environ un mois – qui a maintenant a également été republié par le co-fondateur de Mobikwik, Upasana Taku. Le porte-parole a également confirmé à News18 que la société publierait bientôt une déclaration révisée sur la question, mais s’en tient largement à sa position initiale sur la question.

Le 4 mars, répondant aux informations faisant état de fuites de données liées à près de 11 individus de crore en ligne, Mobikwik avait riposté en traitant le dénonciateur comme «un soi-disant chercheur en sécurité fou des médias», et qualifié les allégations de violation de données de Mobikwik de «concoctées fichiers, ce qui fait perdre un temps précieux à l’organisation. » La société a en outre affirmé qu’elle avait mené une enquête approfondie sur les allégations, mais n’avait constaté aucune défaillance de la sécurité.

Ce que dit la communauté de la cybersécurité

Alors que Mobikwik continue de nier ses allégations de violation de données, la communauté de la cybersécurité a largement soutenu Rajaharia et ses rapports. Le chercheur français en cybersécurité Robert Baptiste, qui s’appelle Elliot Alderson sur Twitter, a souligné que la fuite de données était «probablement la plus grande fuite de données KYC de l’histoire». Une autre source crédible qui a soutenu les rapports de violation de données de Mobikwik est Alon Gal, fondateur et CTO de la startup Hudson Rock. Sauvegarde de la publication de Baptiste sur Twitter, Gal détails publiés à propos de cette «énorme» violation de données, avant d’ajouter: «Pour chaque individu, il y a juste une quantité incroyable d’informations, ce n’est vraiment qu’un piratage dévastateur et toutes les données sont mises en vente par les acteurs de la menace. [sic] »

Troy Hunt, créateur du célèbre mot de passe violé et compte tracker Have I Been Pwned, également posté à propos de la violation de données critiquant la réponse de Mobikwik aux rapports. De tels rapports sur la violation de données Mobikwik restent uniformes dans la communauté de la cybersécurité, et News18 pourrait indépendamment confirmer que les bases de données prétendant provenir de serveurs Mobikwik contiennent des morceaux de données utilisateur avec des informations sensibles et identifiables. Un exemple de dossier de données de violation auquel News18 pourrait accéder sauvegarde également toutes les réclamations faites par la communauté de la sécurité, même si l’entreprise continue de nier la violation.

Kiran Jonnalagadda, co-fondateur de Hasgeek, a également soutenu les affirmations, offrant des preuves telles que des entrées de contacts dans la décharge de données. Cependant, Jonnalagadda souligne également que si toutes ces informations sont très convaincantes à l’heure actuelle, le hachage des mots de passe de Mobikwik dans sa base de données de serveur semble tenir, ce qui signifie que les mots de passe divulgués ne peuvent pas être inversés et utilisés pour violer des comptes. Cela signifie que jusqu’à ce que Mobikwik accepte la violation, toutes ces données resteront circonstancielles, bien que très fortement.

Jonnalagadda a également partagé un lot d’informations de fond intéressantes, qui comprend des informations telles que d’autres applications sur le téléphone d’un utilisateur et leurs coordonnées GPS, faisant allusion au type de données que l’application Mobikwik installée est censée collecter en arrière-plan à partir du téléphone d’un utilisateur. Mobikwik s’est également abstenu de confirmer la même chose.

Que devez-vous faire maintenant?

Même si aucune confirmation d’entreprise n’a été émise jusqu’à présent, il serait bon de mettre à jour tous les mots de passe précédemment enregistrés. Non seulement il serait prudent de mettre à jour votre compte Mobikwik avec de nouveaux mots de passe, mais vous devriez également mettre à jour les mots de passe avec vos adresses e-mail, configurer l’authentification à deux facteurs (2FA), y compris les OTP et les codes de passe fixes, dans la mesure du possible. En outre, supprimez toutes les informations bancaires précédemment enregistrées avec Mobikwik et les services associés, et mettez également à jour leurs codes d’accès en conséquence. Bien que votre compte ne puisse pas être violé grâce à des mots de passe qui auraient été hachés dans la fuite de données, la présence d’autres données identifiables dans cette fuite signifie qu’il n’est peut-être pas prudent de laisser toutes vos informations en ligne, sans mettre à jour vos informations d’identification.