按 Enter 到主內容區
:::

TWCERT/CC台灣電腦網路危機處理暨協調中心

:::

印度數位支付公司否認 KYC 用戶資料因駭侵而外洩

發布日期:
字型大小:
  • 發布單位:TWCERT/CC
  • 更新日期:2021-04-07
  • 點閱次數:568
印度數位支付公司否認 KYC 用戶資料因駭侵而外洩 TWCERT/CC

印度數位支付業者 Mobikwik 日前發生嚴重用戶資料外洩事件,多達 8TB 以上用戶資料遭不明駭侵者在暗網上公開,但該公司否認發生資安事故。

印度最大的數位支付業者 Mobikwik,日前遭資安專家指出該公司發生嚴重用戶資料外洩事件,多達 8TB 以上用戶資料,遭不明駭侵者在暗網上公開,但該公司否認發生資安事故。

獨立資安研究人員 Rajshekhar Rajaharia 於今年二月底時,在 Twitter 上發布貼文和截圖,指出他發現來自 Mobikwik 的大量用戶資料,被不明駭侵者部分公布於暗網,同時試圖出售這批資料。

被指為竊自 Mobikwik 的這批用戶資料,包括多種個人資料與金融相關資訊;其中包括超過一億人的住址、電話號碼、Email、經雜湊加密的用戶密碼,以及約四千萬名用戶的銀行帳戶與信用卡資訊等。該批資料還包括約 350 萬名印度用戶的 KYC(Know your customer)資料。

試圖出售這批資料的駭侵者,甚至還提供一個查詢頁面,可讓有意購買的人輸入要查詢的個人電話或 Email 地址,檢視和輸入資料相關的其他資料欄位;但由於查詢的網路流量太大,甚至出現資料爬蟲試圖搜刮資訊,該查詢欄位目前已遭撤下。

針對 Rajshekhar Rajaharia 的指證,以及媒體的後續相關報導,Mobikwik 一再極力否認,多次發表聲明指出該公司並未發生資料外洩事件,所有用戶資料都非常安全;針對用戶質疑自己的資料可在暗網上查到,該公司表示任何用戶都可以把自己的資料上傳到網路上的各個平台。

該公司也說,已會同第三方資安公司進行調查,沒有發現資料遭竊的證據。

回頁首