信息來(lái)源:cnbeta
據(jù)外媒ZDNet報(bào)道,數(shù)字銀行應(yīng)用和科技獨(dú)角獸Dave.com周日證實(shí)了一個(gè)安全漏洞,此前有黑客在公共論壇上公布了7516625名用戶的詳細(xì)資料。在周日致ZDNet的一封電子郵件中,Dave表示,安全漏洞源于前商業(yè)合作伙伴Waydev的網(wǎng)絡(luò),Waydev是一個(gè)工程團(tuán)隊(duì)使用的分析平臺(tái)。
“由于Waydev(Dave的前第三方服務(wù)提供商之一)的漏洞,最近有惡意方未經(jīng)授權(quán)訪問(wèn)了Dave的某些用戶數(shù)據(jù)。”一位發(fā)言人告訴ZDNet。
該公司表示,已經(jīng)堵住了黑客的入口點(diǎn),并正在通知客戶該事件。Dave應(yīng)用密碼被曝光后,也正在重新設(shè)置。Dave發(fā)言人稱:“當(dāng)Dave意識(shí)到這一事件后,公司立即啟動(dòng)了調(diào)查,調(diào)查正在進(jìn)行中,并正在與執(zhí)法部門協(xié)調(diào),包括與FBI協(xié)調(diào),圍繞惡意方聲稱已經(jīng)‘破解’了其中一些密碼,并試圖出售Dave客戶數(shù)據(jù)。”
該公司還邀請(qǐng)了網(wǎng)絡(luò)安全公司CrowdStrike協(xié)助調(diào)查。
ZDNet于7月25日凌晨得知了這一安全漏洞。有讀者向ZDNet爆料稱,有黑客在RAID上提供Dave應(yīng)用的用戶數(shù)據(jù),該論壇以黑客泄露數(shù)據(jù)庫(kù)的首選之地而聞名。這名黑客“ShinyHunters”也曾入侵和泄露/出售許多其他公司的數(shù)據(jù),包括Mathway、Tokopedia、Wishbone等。
Dave數(shù)據(jù)目前以免費(fèi)下載的形式提供--在論壇成員使用論壇積分解鎖下載鏈接后。該數(shù)據(jù)包括豐富的信息,如真實(shí)姓名、電話號(hào)碼、電子郵件、出生日期和家庭地址。數(shù)據(jù)中還包括社會(huì)安全號(hào)碼,但Dave表示這些細(xì)節(jié)都被加密了--ZDNet在獲得數(shù)據(jù)副本后證實(shí)了這一點(diǎn)。
密碼也包括在內(nèi),但使用bcrypt進(jìn)行了散列,這種散列功能可以防止黑客查看明文密碼。Dave表示,目前,他們沒(méi)有證據(jù)表明黑客利用這些數(shù)據(jù)訪問(wèn)用戶賬戶并執(zhí)行任何未經(jīng)授權(quán)的行動(dòng)。