Утечка данных, как утверждается, включает в себя конфиденциальную информацию более чем трех пользователей lakh BuyUcoin.
Банковская и KYC информация о лакхах пользователей BuyUcoin, которые торгуют биткоином и другими криптовалютами, якобы просочилась в темную паутину. Данные включали имена, адреса электронной почты, номера мобильных телефонов, информацию о заказе и историю депозитов пользователей, по словам исследователя безопасности. Дамп данных, доступный в темной паутине, также, по-видимому, содержит банковские реквизиты, включая названия банков и номера счетов, а также информацию know-your-customer (KYC), которая включает номера PAN и паспортов людей, использующих платформу BuyUcoin. Однако компания опровергла утечку и заявила, что обнаруженный дамп данных был из каких-то фиктивных учетных записей.
Исследователь кибербезопасности Раджшехар Раджахария рассказал Gadgets 360, что он нашел дамп данных в темной паутине в начале этой недели. Он включал в себя сведения о более чем трех пользователях lakh BuyUcoin, сказал он. Компания, базирующаяся в Дели, утверждает, что в общей сложности у нее более 3,5 лакхов пользователей.
Исследователь сказал, что BuyUcoin, по-видимому, столкнулся с утечкой данных в сентябре прошлого года, что привело к последней утечке в темной паутине. Наряду с пользовательскими данными дамп данных включал папку с учетными данными администратора, которые можно было использовать для доступа к серверу, отметил он.
Раджахария заявил, что дамп был размещен в темной паутине блестящими охотниками, хакерской группой, которая якобы слила данные BigBasket и JusPay в недавнем прошлом.
Утечка данных может быть использована плохими актерами для проведения мошеннических атак против отдельных лиц, сказал исследователь. Он также добавил, что эти данные также могут позволить хакерам понять кредитный рейтинг жертв, используя детали транзакций.
Генеральный директор BuyUcoin и соучредитель компании Шивам Тхакрал опроверг эту утечку информации. “Мы хотели бы еще раз подчеркнуть тот факт, что были затронуты только фиктивные данные из 200 записей, которые были немедленно восстановлены и защищены нашими автоматизированными системами безопасности”, - сказал он гаджетам 360 по электронной почте.
Однако это может быть неверно, так как человек, чьи данные были раскрыты в дампе данных, вышел вперед к гаджетам 360 и сказал, что их банковские и KYC-данные были раскрыты.
“Что, если плохой актер будет использовать любой из просочившихся учетных записей пользователей в любой незаконной криптоактивности?” - спросил Раджахария, противодействуя отказу компании от утечки данных. - Кто будет отвечать в таком случае? Утечка криптографических данных может стать очень серьезной проблемой, поскольку в таких случаях эти данные могут быть использованы в незаконной деятельности многими способами. Компания несет ответственность за информирование пострадавших пользователей и защиту данных вместо того, чтобы делать какие-либо ложные заявления.”
Однако Такрал снова опроверг утечку информации и ответил, что это была просто мистификация, чтобы опорочить компанию.
“Эти люди, которые связались с журналистами, являются друзьями хакеров, они просто показывают наши идентификаторы электронной почты”, - сказал он. “Я не вижу в этом никакого смысла.” Но часть дампа данных, как видно из Gadgets 360, содержала эти детали для огромного количества пользователей, так что это, похоже, настоящий дамп, и, надеюсь, компания исследует этот вопрос.
Update, 5PM, Jan 22: в отправленном по почте заявлении BuyUcoin отметил: “этот инцидент остается продолжающимся расследованием. Мы будем держать всех заинтересованных сторон в курсе происходящего и проведем крупную реконструкцию кибербезопасности в течение 2021 года, чтобы повысить безопасность платформы.” Вы можете увидеть полное заявление ниже.
Ни биткоины, ни какие-либо другие криптовалюты, по-видимому, не были украдены во время утечки. Однако в прошлом были случаи взлома криптовалютных бирж и кошельков, а также кражи биткоинов.
В апреле 2020 года хакер воспользовался недостатком безопасности в биткойн-бирже Bisq и украл у пользователей криптовалюту на сумму более 250 000 долларов (примерно 1,82 крора рупий). Binance, одна из ведущих платформ обмена криптовалютами, также столкнулась с утечкой данных в мае 2019 года, в ходе которой хакеры смогли украсть более 40 миллионов долларов (примерно 290 крор рупий).