АНАЛИТИКА

Международные новости утечек информации, ежегодные аналитические отчеты и статистика по инцидентам за прошедшие годы.

11 января 2021

Процессинговая компания потеряла данные 100 млн держателей банковских карт

Хакеры украли персональные данные и фрагменты платежной информации более 100 млн пользователей у индийской компании Juspay, разработчика процессингового  ПО. Весь дамп данных доступен для покупки в даркнете, передает портал Business Insider.

В число клиентов Juspay входят такие известные компании, как Amazon, Swiggy, MakeMyTrip. На объявление о продаже данных Juspay в даркнете наткнулся исследователь безопасности Раджшекхар Раджахария (Rajshekhar Rajaharia). Цена полного пакета информации составляет $8000 (эквивалент в биткойнах).

Украденный набор информации включает такие данные, как номера мобильных телефонов, ID электронной почты, а также некоторые платежные сведения: банк-эмитент карты, срок действия и последние четыре цифры номера карты, тип карты и имя пользователя. Кроме того, в руках киберпреступников оказались зашифрованные полные номера карт (для безопасной обработки транзакций Juspay хэширует 16-значные номера дебетовых и кредитных карт с помощью специального криптографического алгоритма).

В компании Juspay подтвердили факт утечки информации. В сообщении говорится, что взлом произошел еще 18 августа 2020 г.

По словам Раджахарии, инцидент может быть гораздо более серьезным, чем кажется, если злоумышленники раздобудут инструменты для дешифровки номеров карт. Исследователь отмечает, что Juspay зашифровала 6 из 16 цифр номера. Это неплохо, но безопасность пользователей прежде всего зависит от того, подберут ли хакеры нужный алгоритм хэширования, подчеркивает Раджахария.

Даже имеющегося набора данных злоумышленникам будет достаточно для обмана многих держателей карт. Мошенники могут звонить ничего не подозревающим пользователям с целью выведать полные номера карт, CVV, а также PIN-коды.

Подпишитесь на рассылку INFOWATCH