|
“戴夫”是当前一系列移动银行应用程序中比较成功的成员之一,这些移动银行应用程序在传统银行系统之外提供现金透支和其他金融服务。或者至少直到最近。第三方数据泄露事件似乎已经暴露了该应用程序的全部用户基础,总计约750万人。 该漏洞可追溯到前戴夫(Dave)合作伙伴的分析平台Waydev。完整的内容已通过地下黑客论坛免费提供给公众。尽管这是违反分析承包商的第三方数据的行为,但它似乎包括某人用来设置和维护Dave帐户的几乎所有个人信息:全名,电子邮件,生日和家庭住址。据报道,该漏洞还包含加密的社会保险号和哈希密码。 第三方数据泄露凸显了金融科技应用程序的潜在风险Dave于2017年推出,得益于名人投资者Mark Cuban的资金支持,Dave迅速发展(并拥有大量用户)。尽管这些应用程序中的许多都专注于传统上资金不足的市场,但Dave却以透支保护为中心功能而与众不同,其应用程序比某些应用程序更为严格。它要求用户通过收入检查,并在批准之前检查申请人的检查历史记录。 所有这些意味着,Dave用户对平台的信任程度超过了某些预付卡和金融科技应用程序所要求的信息。Dave需要持续访问用户的支票帐户,以监视其潜在的透支情况,将已建立的用户支出模式与剩余余额进行比较,并在估计费用有可能超过时提前发出警告。当预计透支时,该应用程序还提供一种发薪日贷款形式。 尽管细节不多,但第三方数据泄露似乎是由Waydev的工程团队有权访问Dave用户的所有个人信息引起的。目前尚不清楚黑客是如何获得未经授权的访问的,但是戴夫发言人表示,安全漏洞目前已被关闭。 对于Dave的所有现有用户而言,为时已晚。所有窃取的数据都泄露给了黑客论坛RAID,并免费提供给任何已积累足够“论坛积分”来访问它的人。数据转储是由一个名为ShinyHunters的组织进行的,该组织在过去的一年中一直在泄露和出售来自多家公司的数据,包括约会应用程序Zoosk和打印服务Chatbooks。ShinyHunters通常会将其违规数据出售;目前尚不清楚他们为何免费提供这种可能有利可图的敏感财务数据黑客手段。有迹象表明,在此之前的数周内,它已经可以在其他论坛上出售了,因此,ShinyHunters可能只是从竞争对手那里购买了对数据的访问权,然后将其发布以削弱价格。 虽然不太可能破解加密的社会保险号,但似乎至少某些Dave密码可能已经被暴露。地下论坛上的黑客一直吹嘘要破解至少一部分被盗凭证。用户密码使用bcrypt进行哈希处理;尽管这是一个长期的行业标准,通常被认为是安全的,但是应该假定威胁行为者最终将解密所有这些密码,因为现在这些密码可以由具有Internet连接的任何人免费使用。 SecurityWeek 报告称,第三方数据泄露源于Waydev的GitHub应用在7月初的入侵。攻击者可能还访问了Waydev的源代码。有迹象表明,其他Waydev合作伙伴(例如测试平台Tricentis Flood)经历了违反客户个人信息的行为。 还有更多的第三方问题尽管有许多引人注目的例子表明第三方数据泄露是威胁参与者的重点,但第三方数据泄露仍然是一个重要的网络安全问题。虽然组织无法控制通常处理数百个客户信息的业务合作伙伴的安全性,但Gurucul的首席执行官Saryu Nayyar指出,仍然可以采取许多主动措施:“挑战在于获得对可访问您自己系统的第三方环境或应用程序的可见性。让外部供应商满足您组织的安全要求非常困难。您通常无济于事,只能以书面形式提出要求,并希望他们坚持到底。但是,组织可以做一些自己的事情。监视连接以及连接上正在移动的流量可以识别不适当的行为,而应用高级安全分析可以在恶意活动升级为重大漏洞之前查明它们。” 布伦达·费拉罗(Brenda Ferraro),前安泰保险(Aetna Meritain)首席信息安全官(CISO)和普遍存在的第三方风险副总裁继续以安全控制为主题,并仔细起草协议以防止(或至少减轻)第三方数据泄露的危害:“组织可以采用主动和被动两种方法来减轻此类暴露的影响,与被动方法相比,主动措施在影响业务的恢复成本,收入和信任损失方面的成本要低得多。主动地,组织的第三方风险管理计划应针对不再与之合作的合作伙伴采用严格的离线流程。外包计划的一部分应包括可定制的调查和工作流,以简化有关系统访问,数据销毁,最终付款等方面的信息收集工作,以确保满足所需的合同网络和数据安全义务。积极地 有一些解决方案可以监视犯罪论坛,暗网特殊访问论坛,威胁源,黑客聊天和粘贴站点以获取泄漏的凭据,这些凭据有时甚至可以在组织知道其遭到破坏之前就发现活动。看到此活动并将其与第三方对他们的内部控制和安全评估的响应相关联,是验证是否可以闭合环路的关键点。” 虽然此事件不是如何预防或遏制第三方数据泄露的特别新颖或有用的案例研究,但在重大安全事件发生后,这取决于用户对金融科技应用程序的信任。尽管Dave声称没有未经授权的用户帐户访问,但毫无疑问,其用户将根据被泄露的信息成为网络钓鱼和身份欺诈的目标,并且外界可能会将其社会安全号码解密为好。 |
|
|
