Amazon, prosesor pembayaran Swiggy terkena pelanggaran data

Amazon, prosesor pembayaran Swiggy terkena pelanggaran data


[email protected]
Mumbai: Penyedia layanan pembayaran Juspay, yang memproses transaksi untuk raksasa online seperti Amazon, Swiggy, dan perusahaan lain, pada Senin mengakui pelanggaran data yang terjadi pada Agustus 2020. Pelanggaran tersebut menghasilkan sekitar 3,5 crore catatan dengan nomor kartu dan data pribadi yang disamarkan. disusupi.
Pengungkapan itu muncul setelah peneliti keamanan internet Rajshekhar Rajaharia membagikan di media sosial sampel data yang tersedia untuk dijual di web gelap. “Basis data itu dijual oleh orang tak dikenal yang bertransaksi melalui Telegram,” kata Rajaharia kepada TOI.
Mengakui pelanggaran tersebut, Juspay mengatakan pada 18 Agustus 2020, perusahaan melihat adanya aktivitas tidak sah di salah satu penyimpanan datanya. “Kunci akses AWS lama yang tidak didaur ulang dieksploitasi dan memungkinkan akses yang tidak sah. Peringatan sistem otomatis dipicu karena peningkatan tiba-tiba dalam penggunaan sumber daya sistem pada penyimpanan data. Tim tanggapan insiden kami segera terlibat dan dapat melacak gangguan serta menghentikannya. Server yang digunakan dalam peretasan dihentikan dan titik masuk untuk gangguan ini ditutup, ”kata perusahaan itu dalam blognya.
“Sekitar 3,5 crore catatan dengan data kartu bertopeng dan sidik jari kartu (yang merupakan informasi non-sensitif) telah dilanggar. Data kartu bertopeng digunakan untuk keperluan pajangan dan tidak bisa digunakan untuk menyelesaikan transaksi, ”kata Juspay dalam blognya. “Sebagian dari 10 crore metadata pengguna di sistem kami, yang memiliki ID email teks biasa dan nomor telepon yang tidak dianonimkan, telah disusupi,” kata Juspay.
Menjelaskan penundaan dalam pengungkapan, Juspay berkata, “Kami memverifikasi bahwa penyimpanan data aman kami, yang menampung nomor kartu rahasia, tidak diakses atau disusupi. Dengan demikian, semua nasabah kami aman dari segala jenis risiko. Prioritas kami adalah memberi tahu pedagang dan, sebagai ukuran tindakan pencegahan yang berlimpah, mereka diberikan kunci API baru, meskipun kemudian diverifikasi bahwa bahkan kunci API yang digunakan pun aman. ”
Hampir lima bulan setelah pelanggaran tersebut, seorang penjual di dark net membagikan sampel dump dengan Rajaharia. Jaringan gelap mengacu pada server internet yang tidak dapat diakses oleh mesin pencari, tetapi dapat diakses melalui alat khusus yang menganonimkan informasi pengguna.
Rajaharia berkata, “Data sampel menyembunyikan nomor kartu dan mengungkapkan hanya enam digit sesuai dengan standar PCI (industri kartu pembayaran). Tetapi selain nomor yang disamarkan, datanya termasuk sidik jari kartu – yang merupakan nomor kartu kredit yang di-hash. Meskipun nomor kartu yang di-hash dengan sendirinya tidak dapat didekripsi, siapa pun yang mendapatkan algoritme Juspay dapat mendekripsi nomor tersebut. Penjual meminta $ 8.000 dalam bentuk bitcoin untuk seluruh dump data, yang diklaimnya sekitar 100 juta dan sekitar 45 juta catatan transaksi. ”
Juspay mengatakan bahwa karena CVV dan PIN tidak disimpan oleh perusahaan, informasi penting ini tidak akan terganggu. Menurut orang-orang di industri pembayaran, nomor kartu yang disamarkan tidak berguna kecuali seseorang memiliki akses ke algoritme dan kunci untuk mendekripsi data. Tetapi yang lain mengatakan bahwa penipu dapat mengumpulkan potongan-potongan dan terlibat dalam serangan phishing.
Pembayaran di India tunduk pada otentikasi dua faktor (mereka memerlukan kata sandi satu kali atau PIN), tetapi penggunaan internasional tidak memiliki persyaratan seperti itu. RBI telah meminta bank untuk memberi pelanggan opsi untuk mematikan kartu mereka untuk transaksi internasional melalui berbagai saluran (aplikasi, online, atau pesan teks).

Togel HK