Juspay一亿多用户的借记卡、信用卡信息被泄露

  •   超过1亿借记卡和信用卡用户的信息已经从支付处理商Juspay网上泄露。
  •   泄密内容包括用户姓名、联系方式以及与其借记卡和信用卡相关的信息。
  •   Juspay为亚马逊、Swiggy、MakeMyTrip和其他几家公司处理付款。
  •   网络安全研究人员Rajshekhar Rajaharia首先发现了这个漏洞,他说如果黑客发现了加密算法,这个漏洞可能会变得更加严重。

  支付处理商Juspay的1亿多借记卡和信用卡用户的信息在黑暗网络上泄露,这可能是一个重大的数据泄露事件。Juspay为亚马逊、Swiggy、MakeMyTrip等公司处理支付业务。


  泄露的数据是以数据转储的形式出现的,并已通过Juspay的受损服务器泄露。Juspay在其官方博客中证实了数据泄露,概述了泄露的细节。

  “我们很遗憾地通知您,2020年8月18日确实发生了数据泄露事件。我们的一部分用户的非敏感屏蔽卡信息、手机号码和电子邮件ID被泄露,”该公司说。

  网络安全研究员Rajshekhar Rajaharia发现了数据泄露。他发现数据转储可以在黑暗网络上出售。

  Rajaharia在接受Business Insider采访时指出,如果黑客找出用于散列卡号的加密算法,这种数据泄露可能会严重得多。

  据Juspay称,泄露的信息包括非敏感的蒙面卡信息、手机号码和一部分用户的电子邮件id。该公司表示,泄露的信息不包括完整的卡号、订单信息、卡号或密码。

  黑网上的数据包括发卡银行、卡到期日、卡的最后四位数字、蒙面卡号、卡类型和用户名等详细信息。


 你应该担心吗?


  拉贾哈里亚指出,如果用于散列卡号的算法被泄露,或者如果黑客自己发现,用户可能会面临重大风险。

  哈希是映射到一组数据的唯一固定长度字符串。在这种情况下,对借记卡中的16位数字进行哈希处理。

  如果黑客能够找出生成这些散列的算法,他们就可以使用暴力,找出原始卡号是什么。

  Juspay只屏蔽了16位卡号中的6位。Rajaharia说,虽然这很好,但用户的安全主要取决于哈希算法。


  骗子也可以利用这一数据泄漏


  除了上述风险,拉贾哈里亚还指出,骗子可能利用这一数据泄露欺骗持卡人。由于泄密内容包括手机号码,他们可以打电话给毫无戒备的持卡人,诱骗他们透露完整的卡号、PIN、CVV以及一次性密码。

  拉贾哈里亚还指出,由于这些用户是付费客户,因此他们比非付费客户更有价值。这使得Juspay的数据泄露对于黑客和骗子来说更加有利可图。

  【参考来源:businessinsider.in】