Forensische Prüfung von MobiKwik angeordnet

Cyber Security News

Eine forensische Prüfung von Indiens größtem unabhängigen mobilen Zahlungsnetzwerk wurde nach einem angeblichen Datenbruch angeordnet.

Berichte, dass Daten in der Obhut von MobiKwik online durchgesickert waren, begannen im Februar in den sozialen Medien zu kursieren. Anfang dieser Woche schien eine Website im Darknet zu zeigen, dass 8,2 TB Daten aus dem Unternehmen exfiltriert worden waren.

Am 30. März behauptete die Hackergruppe Jordandaven, eine MobiKwik-Datenbank gestohlen zu haben, die 36 Millionen Dateien enthielt, in denen die Identitätsüberprüfungsdaten von rund 3,5 Millionen Personen gespeichert waren (Know Your Customer (KYC)).

Unter den angeblich durchgesickerten Daten sind 99 Millionen Telefonnummern, E-Mails, gehashte Passwörter, Adressen und Bankkontoinformationen von Kunden sowie die Details von über 40 Millionen Zahlungskarten.

Jordandaven behauptete, dass Daten, die dem MobiKwik-Gründer Bipin Preet Singh und der Geschäftsführerin des Unternehmens, Upasana Taku, gehören, in der durchgesickerten Datenbank enthalten waren.

MobiKwik hat über 107 Millionen Benutzer und mehr als drei Millionen Händler in seinem Netzwerk. Die angeblichen Hacker des Unternehmens behaupten, 7,5 TB KYC-Daten in Bezug auf diese Händler gestohlen zu haben.

Um die Legitimität der Behauptungen der Hacker zu überprüfen, ordnete die Reserve Bank of India gestern an, dass eine forensische Prüfung von MobiKwik sofort von einem CERT-IN (Indian Computer Emergency Response Team) Drittprüfer durchgeführt wird.

MobiKwik, das in Gurugram ansässig ist, hat Behauptungen über ein Datenleck als unwahr zurückgewiesen.

Am Dienstag sagte ein MobiKwik-Sprecher: “Wir unterliegen strengen Compliance-Maßnahmen unter PCI-DSS und ISO-Zertifizierungen, die jährliche Sicherheitsaudits und vierteljährliche Penetrationstests umfassen, um die Sicherheit unserer Plattform zu gewährleisten.

“Sobald diese Angelegenheit gemeldet wurde, haben wir eine gründliche Untersuchung mit Hilfe von externen Sicherheitsexperten durchgeführt und keine Hinweise auf eine Datenverletzung gefunden.”

MobiKwik gab an, dass es sich nach der angeblichen Datenverletzung an CERT-IN gewandt hatte. Nach Überprüfung einer Stichprobe der angeblich durchgesickerten Daten kam das Unternehmen zu dem Schluss, dass die Daten nicht ihnen gehörten.

Der New Indian Express berichtet, dass MobiKwik zuvor CERT-IN kontaktiert hatte, nachdem es am 1. März einen unbefugten Versuch entdeckt hatte, auf seine benutzerseitige Anwendungsprogrammierschnittstelle zuzugreifen, die mit einem über seine Plattform generierten Zahlungslink verbunden war.

Einige Teile dieses Artikels stammen aus:
www.infosecurity-magazine.com