A startup indiana Juspay, provedora de serviços de pagamento, disse nesta terça-feira (05) que sofreu uma violação de dados que afetou cerca de 35 milhões de clientes, em agosto do ano passado.
Agora, um cibercriminoso está vendendo 365 milhões de dados de empresas indianas na dark web e a Juspay está entre elas. As bases de dados à venda foram descobertas pelo pesquisador Rajshkhar Rajaharia, que recebeu uma amostra e a publicou no Twitter.
O mesmo hacker que vendia @JusPay DB agora está vendendo DBs de mais empresas indianas na Dark Web. @clickindia – 8Mn @chqbook – 1Mn @wedmegood – 1.3Mn. O mesmo Hacker também está vendendo @bigbasket_com. Pode ser uma forte conexão entre todos esses vazamentos de dados recentes. #InfoSec #DataLeak #GDPR pic.twitter.com/zs0mA7NjLR
– Rajshekhar Rajaharia (@rajaharia) 6 de janeiro de 2021
Segundo o jornal Times of India, a startup tem grandes clientes e processa pagamentos para gigantes da internet, como Amazon, Swiggy, além de outras empresas.
Justificação
A Juspay garante que os dados violados não são comprometedores ou confidenciais. “Registros de cerca de 35 milhões de usuários, com dados do cartão mascarados e impressão digital do cartão (que são informações não confidenciais), foram violados. Os cartões mascarados de dados são usados para fins de exibição na interface do usuário do comerciante e não podem ser usados para concluir uma transação ”, escreve a empresa em comunicado no blog oficial.
Porém, de acordo com a amostra divulgada pela pesquisadora, os dados de venda revelam informações como nome do cliente, nome do banco e até mesmo o número do celular do cliente. “Ele [o cibercriminoso] possivelmente conhecido como ‘ShinyHunters’, está pedindo $ 10.000 por [dados da] BigBasket [e] $ 8.000 pela JusPay’s”, escreve Rajaharia no Twitter.
Dados de amostra publicados por Rajshkhar Rajaharia no Twitter.
“Além do número [do cartão] mascarado, os dados incluem a impressão digital do cartão, que é um número de cartão de crédito com hash. Embora um número de cartão com hash sozinho não possa ser decifrado, qualquer pessoa que tenha acesso ao algoritmo Juspay pode decifrar os números”, disse o pesquisador ao jornal Times of India.
A Juspay reforça que a violação ficou restrita a um sistema isolado, que contém números de cartões mascarados. Para a empresa, essas informações não são confidenciais e não podem ser usadas para concluir uma transação.
“Todos os números de cartão completos dos clientes, informações de pedidos, PINs de cartão ou senhas são protegidos. Os dados comprometidos não contêm nenhuma informação de transação ou pedido”, justifica a Juspay no comunicado.
Envie ajuda
Em outro comunicado, a empresa informa que contratou serviços de segurança da Verizon e PricewaterhouseCoopers (PwC) para apurar o caso e melhorar a segurança de dados, informações e sistemas da empresa.
“Nomeamos a Verizon Business para conduzir uma PCI Forensic Investigation (PFI) independente. Também designamos a PricewaterhouseCoopers (PwC) para realizar uma auditoria abrangente de políticas, protocolos e tecnologias. Isso ajudaria a aumentar a resiliência e a preparação para mitigar ameaças de ataques cibernéticos ilegais ”, escrevem eles.
As violações de dados da Juspay foram publicadas pela primeira vez no portal de Singapura The Business Times, em 12 de dezembro de 2020. Mas foi Bleeping Computer que publicou mais detalhes sobre o caso, além de uma captura de tela de um usuário vendendo dados de mais 25 empresas.
Anúncios de banco de dados publicados por Bleeping Computer.
Fontes: Rajshekhar Rajaharia; Times of india; Juspay (1), (two); The Business Times; Bleeping Computer.