100 मिलियन से अधिक क्रेडिट, डेबिट कार्डहोल्डर्स का डेटा डार्क वेब पर लीक हो गया
एक सुरक्षा शोधकर्ता के अनुसार, 100 मिलियन से अधिक क्रेडिट और डेबिट कार्डधारकों का संवेदनशील डेटा डार्क वेब पर लीक किया गया है। डेटा में कार्डधारकों के पूर्ण नाम, फोन नंबर और ईमेल पते शामिल थे, साथ ही उनके कार्ड के पहले और अंतिम चार अंक भी शामिल थे। ऐसा प्रतीत होता है कि भुगतान प्लेटफ़ॉर्म Juspay के साथ जुड़ा हुआ है जो भारतीय और वैश्विक व्यापारियों के लिए लेन-देन की प्रक्रिया करता है, जिसमें Amazon, MakeMyTrip और Swiggy शामिल हैं। बेंगलुरु स्थित स्टार्टअप ने स्वीकार किया कि अगस्त में उसके कुछ उपयोगकर्ता डेटा से छेड़छाड़ की गई थी।
डार्क वेब पर सामने आया डेटा ऑनलाइन लेनदेन से संबंधित है जो कम से कम मार्च 2017 और अगस्त 2020 के बीच हुआ था, जो फाइलें गैडस 360 के सुझाव से साझा की गई थीं। इसमें कई भारतीय कार्डधारकों के व्यक्तिगत विवरणों के साथ उनकी कार्ड की समाप्ति की तारीखें, ग्राहक आईडी, और कार्ड के पहले और अंतिम चार अंकों के साथ नकाबपोश कार्ड नंबर शामिल थे। हालांकि, विशेष रूप से लेनदेन या ऑर्डर विवरण स्पष्ट रूप से लीक का हिस्सा नहीं हैं।
प्रभावित कार्डधारियों पर फ़िशिंग हमले चलाने के लिए स्कैमर द्वारा डंप में उपलब्ध संपर्क जानकारी के साथ प्रकट विवरणों को जोड़ा जा सकता है।
राजाहरिया ने कहा, "हैकर टेलीग्राम पर खरीदारों से संपर्क कर रहा था और बिटकॉइन में भुगतान कर रहा था।"
उन्होंने गैजेट्स 360 को बताया कि डेटा डंप, वेब पर जस्पे के नाम से बिक रहा था और वह कुछ अवलोकन के बाद कंपनी के साथ इसके लिंकेज को खोजने में सक्षम था। कंपनी ने गैजेट्स 360 को एक डेटा ब्रीच की पुष्टि की, हालांकि इसने अधिक जानकारी नहीं दी।
BHIM ऐप डेटा ब्रीच 70 लाख भारतीयों के 'अत्यधिक संवेदनशील' डेटा का प्रस्ताव: रिपोर्ट
शोधकर्ता ने कहा कि जस्पे के साथ सहयोग को सत्यापित करने के लिए, उसने माईएसक्यूएल डंप नमूने की फाइलों में उपलब्ध डेटा फ़ील्ड की तुलना की, जो उसने हैसर से एक जेसीवाई एपीआई दस्तावेज़ फ़ाइल के साथ प्राप्त की थी। "दोनों बिल्कुल समान थे," उन्होंने कहा।
नवीनतम डेटा लीक के आसपास कोई भी विवरण प्रदान किए बिना, जेस्पे के संस्थापक विमल कुमार ने गैजेट्स 360 को बताया कि 18 अगस्त को "अनधिकृत प्रयास" का पता चला था जिसे प्रगति में समाप्त कर दिया गया था।
कुमार ने एक ईमेल में कहा, "कोई कार्ड नंबर, वित्तीय साख या लेनदेन के आंकड़ों से समझौता नहीं किया गया था।" "गैर-अनाम ईमेल, फोन नंबर और प्रदर्शन उद्देश्यों के लिए उपयोग किए जाने वाले नकाबपोश कार्ड वाले डेटा रिकॉर्ड (कार्ड के पहले चार और अंतिम चार अंक, जिन्हें संवेदनशील नहीं माना जाता है), से समझौता किया गया था।"
दिसंबर में हैक हुए इंडिगो के दावे सर्वर, आंतरिक दस्तावेज सार्वजनिक हो सकते हैं
कुमार ने कहा कि ईमेल और मोबाइल की जानकारी "10 करोड़ रिकॉर्ड का एक छोटा सा हिस्सा" थी और अधिकांश जानकारी सर्वरों पर अंकित थी। उन्होंने यह भी दावा किया कि 10 करोड़ रिकॉर्ड कार्ड विवरण नहीं थे और ग्राहक मेटाडेटा थे, जिसमें उपयोगकर्ताओं की ईमेल और मोबाइल जानकारी शामिल थी।
“नकाबपोश कार्ड डेटा (प्रदर्शन के लिए उपयोग किए जाने वाले गैर-संवेदनशील डेटा) जो लीक हुआ था, उसके दो करोड़ रिकॉर्ड हैं। हमारा कार्ड वॉल्ट एक अलग पीसीआई कंप्लेंट सिस्टम में है और इसे कभी एक्सेस नहीं किया गया, ”उन्होंने कहा।
राजाहरिया ने आरोप लगाया कि नकाबपोश होने के बावजूद, कार्ड नंबर को डिक्रिप्ट किया जा सकता है यदि कोई हैकर कार्ड के फिंगरप्रिंट के लिए उपयोग किए गए एल्गोरिदम का पता लगाएगा। हालांकि, कुमार शोधकर्ता से सहमत नहीं थे।