MobiKwik mengatakan tidak ada pelanggaran data bahkan saat pengguna berbagi 'bukti' di Twitter

MobiKwik mengatakan tidak ada pelanggaran data bahkan saat pengguna berbagi ‘bukti’ di Twitter

Keluaran Hongkong

Startup fintech berbasis Gurugram MobiKwik telah menemukan dirinya di ujung penerima beberapa pengguna yang marah di Twitter karena diduga menyembunyikan pelanggaran data yang melibatkan lebih dari 10 crore pengguna. MobiKwik pada 4 Maret membantah tuduhan pelanggaran data yang dilaporkan dan mengklaim bahwa “seorang peneliti keamanan yang gila media” melaporkan kasus palsu keamanan siber untuk menarik perhatian media. Perusahaan juga telah memastikan bahwa data pengguna aman dan tidak ada penyimpangan keamanan di pihak mereka.
Hampir sebulan kemudian, MobiKwik telah mengeluarkan pernyataan lain dan mengatakan bahwa perusahaan sedang menyelidiki ini … dan akan meminta pihak ketiga untuk melakukan audit keamanan data forensik. ” Perkembangan ini terjadi setelah pengguna mulai memposting tangkapan layar file teks yang mengungkapkan detail pengguna.
Sejauh menyangkut “yang disebut peneliti keamanan”, namanya adalah Rajshekhar Rajaharia dan dia termasuk orang pertama yang memberi tahu MobiKwik tentang pelanggaran keamanan. Dia mengklaim bahwa perusahaan tidak menanggapi dia pada awalnya. Dia mengatakan bahwa hanya setelah tweetnya menjadi viral, perusahaan mengeluarkan pernyataan yang menyangkal pelanggaran keamanan klaim pada 4 Maret.

Detail pengguna apa yang mungkin bocor
Sesuai data yang dibobol, detail pengguna yang mungkin bocor meliputi: nama, nomor telepon, kata sandi yang di-hash, detail rekening bank, alamat, ID email, foto, data Aadhaar, data paspor, aplikasi lain yang diinstal di ponsel dan banyak lagi.

Cerita versi peneliti keamanan
Dalam interaksi dengan The Times of India – GadgetsNow, Rajaharia berkata, “Pada tanggal 25 Februari, seorang hacker di forum web gelap (Raid Forum) mengklaim bahwa dia memiliki semua data pengguna dari salah satu dari 3 perusahaan rintisan fintech teratas di India. Peretas tidak menyebutkan nama perusahaannya. Alasan mengapa peretas tidak mengungkapkan nama perusahaan yang dibobol adalah karena dia ingin menghasilkan uang. Kemudian dia membuat grup di Discord dan mulai membagikan detail sebagai bukti pelanggaran. Melalui data sampelnya, saya menduga itu milik MobiKwik. ”
“Ketika saya mencoba untuk mengkonfirmasi dengan peretas bahwa apakah data ini benar-benar milik MobiKwik atau bukan, dia tidak mengkonfirmasi dan mengatakan bahwa proses pengunduhan data masih berlangsung. Saat itulah saya berpikir untuk memberi tahu MobiKwik tentang potensi pelanggaran, ”katanya.
Rajaharia telah memberi tahu MobiKwik melalui Twitter dan LinkedIn, pada 1 Maret, tentang kemungkinan pelanggaran. Dia tidak menerima tanggapan resmi dari perusahaan. Dia mengklaim telah mengirim email kepada pendiri MobiKwik tentang hal yang sama tetapi tidak ada tanggapan.
Rajaharia, mengklaim bahwa setelah memberi tahu MobiKwik, peretas melalui sebuah posting mengatakan bahwa “dia kehilangan tautan dengan server perusahaan dan semua datanya rusak”.

“Segera setelah itu MobiKwik menghapus opsi email dari formulir pendaftaran sehingga tidak ada yang bisa mencocokkan email yang bocor dengan servernya,” tambahnya.
Belakangan, Rajaharia mengatakan bahwa dia sendiri melaporkan bug di platform MobiKwik setelah beberapa hari. “Mereka menyangkal keberadaan bug dan memperbaikinya,” klaimnya.

Postingannya di LinkedIn dan Twitter yang menampilkan bug tersebut telah dihapus oleh platform masing-masing karena “melanggar kebijakan”. Meskipun tidak jelas mengapa Twitter dan LinkedIn menghapus postingannya, salah satu alasannya mungkin karena dia memposting detail pribadi pengguna.

“Tim di MobiKwik sangat yakin bahwa data yang dibobol hanya dengan satu peretas sehingga mereka secara terbuka menyangkal pelanggaran sama sekali setelah peretas mengatakan bahwa ia kehilangan data karena rusak,” tambahnya.
Namun, bukan itu masalahnya menurut Rajaharia dan dia mengklaim bahwa data semua pengguna MobiKwik masih tersedia dan bahkan ada mesin pencari yang dibuat untuk hal yang sama. Melalui mesin pencarinya, siapa pun dapat mencari dan mendapatkan informasi pribadi pengguna.
Bagaimana ‘mesin pencari’ memicu tren #MobikwikDataBreach di Twitter
Setelah mesin pencari dibuat, orang menggunakannya untuk menemukan detail pribadi pengguna MobiKwik dengan mencari database dengan ID email. Begitu mendapat kecocokan, beberapa pengguna mengklaim bahwa datanya akurat dan memang bersumber dari MobiKwik. Beberapa dari pengguna ini membagikan tangkapan layar dari detail pribadi yang bocor dan diposting di Twitter. Tak lama kemudian, “#MobikwikDataBreach” mulai menjadi trending di Twitter. Ini sepertinya yang membuat perusahaan mengeluarkan pernyataan.
The Times of India – GadgetsNow mengakses mesin pencari secara independen dan dapat memastikan keberadaannya. Mesin pencari ini hanya dapat diakses melalui browser Tor.

Pernyataan resmi terbaru MobiKwik tentang insiden pelanggaran data
“… Beberapa pengguna telah melaporkan bahwa data mereka terlihat di darkweb. Saat kami menyelidiki hal ini, sangat mungkin bahwa setiap pengguna dapat mengunggah informasinya ke berbagai platform. Oleh karena itu, tidak benar untuk menyarankan bahwa data yang tersedia di darkweb telah diakses dari MobiKwik atau sumber yang teridentifikasi.
Ketika masalah ini pertama kali dilaporkan bulan lalu, perusahaan melakukan penyelidikan menyeluruh dengan bantuan pakar keamanan eksternal dan tidak menemukan bukti adanya pelanggaran. Perusahaan ini bekerja erat dengan otoritas yang diperlukan, dan yakin bahwa protokol keamanan untuk menyimpan data sensitif kuat dan tidak dilanggar. Mempertimbangkan keseriusan tuduhan tersebut, dan dengan cara yang sangat hati-hati, pihak ketiga akan melakukan audit keamanan data forensik.
Untuk pengguna kami, kami tegaskan bahwa semua akun dan saldo MobiKwik Anda sepenuhnya aman. Semua data yang sensitif secara finansial disimpan dalam bentuk terenkripsi di database kami. Tidak ada penyalahgunaan saldo dompet, kartu kredit atau kartu debit Anda tanpa kata sandi satu kali (OTP) yang hanya datang ke nomor ponsel Anda. Kami sangat menyarankan Anda untuk tidak mencoba membuka web gelap / tautan anonim karena dapat membahayakan keamanan dunia maya Anda sendiri. ”