• 發布單位:TWCERT/CC
• 更新日期:2021-04-07
• 點閱次數:2605

印度數位支付業者 Mobikwik 日前發生嚴重用戶資料外洩事件，多達 8TB 以上用戶資料遭不明駭侵者在暗網上公開，但該公司否認發生資安事故。

印度最大的數位支付業者 Mobikwik，日前遭資安專家指出該公司發生嚴重用戶資料外洩事件，多達 8TB 以上用戶資料，遭不明駭侵者在暗網上公開，但該公司否認發生資安事故。

獨立資安研究人員 Rajshekhar Rajaharia 於今年二月底時，在 Twitter 上發布貼文和截圖，指出他發現來自 Mobikwik 的大量用戶資料，被不明駭侵者部分公布於暗網，同時試圖出售這批資料。

被指為竊自 Mobikwik 的這批用戶資料，包括多種個人資料與金融相關資訊；其中包括超過一億人的住址、電話號碼、Email、經雜湊加密的用戶密碼，以及約四千萬名用戶的銀行帳戶與信用卡資訊等。該批資料還包括約 350 萬名印度用戶的 KYC（Know your customer）資料。

試圖出售這批資料的駭侵者，甚至還提供一個查詢頁面，可讓有意購買的人輸入要查詢的個人電話或 Email 地址，檢視和輸入資料相關的其他資料欄位；但由於查詢的網路流量太大，甚至出現資料爬蟲試圖搜刮資訊，該查詢欄位目前已遭撤下。

針對 Rajshekhar Rajaharia 的指證，以及媒體的後續相關報導，Mobikwik 一再極力否認，多次發表聲明指出該公司並未發生資料外洩事件，所有用戶資料都非常安全；針對用戶質疑自己的資料可在暗網上查到，該公司表示任何用戶都可以把自己的資料上傳到網路上的各個平台。

該公司也說，已會同第三方資安公司進行調查，沒有發現資料遭竊的證據。