Раскрытие информации произошло после того, как исследователь интернет-безопасности Раджшекхар Раджахария поделился в социальных сетях образцом данных, которые были доступны для продажи в темной сети. «База данных была выставлена на продажу неизвестным лицом, осуществлявшим операции через Telegram», — сказал Раджахария TOI.
Признавая нарушение, Juspay заявил 18 августа 2020 года, что компания заметила несанкционированные действия в одном из своих хранилищ данных. «Был использован старый необработанный ключ доступа AWS, что позволило осуществить несанкционированный доступ. Сработало автоматическое системное предупреждение из-за внезапного увеличения использования системных ресурсов в хранилище данных. Наша группа реагирования на инциденты немедленно подключилась и смогла отследить вторжение и остановить его. Сервер, использованный при взломе, был отключен, а точка входа для этого вторжения была опечатана », — говорится в блоге компании.
«Было взломано около 3,5 крор записей с замаскированными данными карт и отпечатками пальцев (которые не являются конфиденциальной информацией). Замаскированные данные карты используются для демонстрации и не могут использоваться для завершения транзакции », — говорится в блоге Juspay. «Часть метаданных пользователей из 10 крор в нашей системе, которая содержит неанонимные идентификаторы электронной почты и номера телефонов в виде обычного текста, была взломана», — сказал Джуспей.
Объясняя задержку с раскрытием информации, Juspay сказал: «Мы проверили, что к нашему безопасному хранилищу данных, в котором хранятся конфиденциальные номера карт, не было доступа и не было доступа к нему. Таким образом, все наши клиенты были защищены от любого риска. Нашим приоритетом было проинформировать продавцов, и в качестве меры предосторожности им были выданы свежие ключи API, хотя позже было подтверждено, что даже используемые ключи API безопасны ».
Спустя почти пять месяцев после взлома продавец в даркнете поделился с Раджахарией образцом дампа. Темная сеть относится к интернет-серверам, которые недоступны для поисковых систем, но к которым можно получить доступ с помощью специальных инструментов, которые анонимизируют информацию о пользователях.
Раджахария сказал: «Образцы данных маскируют номер карты и раскрывают только шесть цифр в соответствии со стандартами PCI (индустрии платежных карт). Но помимо замаскированного номера данные включают в себя отпечаток пальца карты — хешированный номер кредитной карты. Хотя хешированный номер карты сам по себе не может быть расшифрован, любой, кто столкнется с алгоритмом Juspay, может расшифровать номера. Продавец просил 8000 долларов в биткойнах за весь дамп данных, который, по его утверждению, составлял около 100 миллионов и около 45 миллионов записей транзакций ».
Juspay заявил, что, поскольку CVV и PIN-коды не хранятся в компании, эта важная информация не подвергается риску. По словам представителей платежной индустрии, замаскированные номера карт бесполезны, если у кого-то нет доступа к алгоритму и ключу для расшифровки данных. Но другие говорят, что мошенники могут собрать все воедино и начать фишинговую атаку.
Платежи в Индии подлежат двухфакторной аутентификации (для этого требуется одноразовый пароль или PIN-код), но для международного использования таких требований нет. RBI уже попросил банки предоставить клиентам возможность отключать свои карты для международных транзакций по нескольким каналам (приложения, онлайн или текстовые сообщения).
.
