A violação de dados atinge a Amazon, o processador de pagamentos de Swiggy, informações de cartão de 3,5 crore comprometidas
O provedor de serviços de pagamento fez essa divulgação depois que o pesquisador de segurança da internet Rajshekhar Rajaharia compartilhou nas redes sociais uma amostra dos dados que estavam disponíveis para venda na dark web.
Nova Delhi : Justpay, que processa transações para gigantes online como Amazon, Swiggy e outras empresas, admitiu na segunda-feira uma violação de dados, que ocorreu em agosto de 2020, resultando em 3,5 milhões de registros com números de cartão mascarados e dados pessoais comprometidos, o Times of India mencionado em um relatório.
Swiggy é a maior e mais valiosa plataforma de entrega e pedido online de alimentos da Índia, fundada em 2014. Swiggy está sediada em Bangalore, Índia, e em março de 2019 operava em 100 cidades indianas.
Em 18 de agosto de 2020, a Justpay disse que percebeu atividades não autorizadas em um de seus armazenamentos de dados. “Uma velha chave de acesso AWS não reciclada foi explorada. O servidor usado no hack foi encerrado e o ponto de entrada para esta intrusão foi selado ”, disse o relatório ToI citando a empresa.
“Cerca de 3,5 crore registros com dados de cartão mascarados e impressão digital de cartão (que são informações não confidenciais) foram violados. Os dados do cartão mascarado são usados para fins de exibição e não podem ser usados para uma transação ”, disse a publicação Juspay.
“Uma parte dos metadados de usuários de 10 crore em nosso sistema, que não são anônimos, IDs de e-mail em texto simples e números de telefone, foram comprometidos”, disse Juspay.
Explicando o atraso na divulgação, Juspay disse: “Verificamos que nosso armazenamento de dados seguro não foi acessado ou comprometido. Assim, todos os nossos clientes estão protegidos de qualquer tipo de risco. Nossa prioridade era informar os comerciantes e, como medida de precaução abundante, eles receberam novas chaves de API, embora tenha sido verificado posteriormente que mesmo as chaves de API em uso eram seguras. ”
Rajaharia disse: “Os dados de amostra mascaram o número do cartão e revelam apenas seis dígitos de acordo com os padrões PCI (indústria de cartões de pagamento). Mas, além do número mascarado, os dados incluem a impressão digital do cartão – que é um número de cartão de crédito com hash. Embora um número de cartão com hash por si só não possa ser descriptografado, qualquer pessoa que tenha acesso ao algoritmo de Juspay pode descriptografar os números. O vendedor estava pedindo $ 8.000 em bitcoins para todo o despejo de dados. ”
Juspay afirmou que, como os CVV e os PINs não são armazenados pela empresa, essas informações críticas não são comprometidas. Mas outros dizem que os fraudadores podem juntar as peças e se envolver em um ataque de phishing.
Fonte: ET Now Digital em 05 de janeiro de 2021
Plataforma desenvolvida na Índia pretende utilizar certificados digitais como prova de vacinação
Hackeando Semáforos: The Italian Job em termos de cibersegurança