A startup indiana, provedora de serviços de pagamentos, Juspay, informou nesta terça-feira (05) que sofreu uma violação de dados que afetou cerca de 35 milhões de clientes, em agosto do ano passado.
- WhatsApp muda política de privacidade e te obriga a compartilhar dados com o Facebook
- Sim, já tem gente vendendo (e gente comprando!) vacina falsa da COVID-19 pela internet
- Dark web aumentou exponencialmente e continua crescendo durante a pandemia, conclui pesquisa
Agora, um cibercriminoso está vendendo 365 milhões de dados de empresas indianas na dark web e a Juspay está entre elas. Os bancos de dados à venda foram descobertos pelo pesquisador, Rajshkhar Rajaharia, que recebeu uma amostra e publicou no Twitter.
De acordo com o jornal Times of India, a startup possui grandes clientes e processa pagamentos para gigantes da internet, como a Amazon, Swiggy, além de outras empresas.
Justificativa
A Juspay garante que os dados violados não são dados comprometedores ou confidenciais. “Registros de cerca de 35 milhões de usuários, com dados do cartão mascarados e impressão digital do cartão (que são informações não confidenciais) foram violados. Os dados mascarados do cartão são usados para fins de exibição na interface de usuário do comerciante e não podem ser usados para completar uma transação”, escreve a empresa em comunicado no blog oficial.
No entanto, segundo a amostra publicada pelo pesquisador, os dados à venda revelam informações como nome do cliente, nome do banco e até o número do celular dos clientes. “Ele [o cibercriminoso] possivelmente conhecido como ‘ShinyHunters’, está pedindo US$ 10 mil pelos [dados da] BigBasket [e] US$ 8 mil pelos da JusPay”, escreve Rajaharia no Twitter.
“Além do número [do cartão] mascarado, os dados incluem a impressão digital do cartão, que é um número de cartão de crédito com hash. Embora um número de cartão com hash por si só não possa ser descriptografado, qualquer pessoa que tenha acesso ao algoritmo de Juspay pode descriptografar os números”, disse o pesquisador ao jornal Times of India.
A Juspay reforça que a violação foi restrita a um sistema isolado, que contém os números de cartão mascarados. Para a empresa, essa informação não é confidencial e não pode ser usada para completar uma transação.
“Todos os números de cartão completos dos clientes, informações do pedido, PINs de cartão ou senhas estão protegidos. Os dados comprometidos não contêm nenhuma transação ou informação de pedido”, justifica a Juspay no comunicado.
Send help
Em um outro comunicado, a empresa informa que contratou serviços de segurança das empresas Verizon e PricewaterhouseCoopers (PwC) para investigar o caso e melhorar a segurança de dados, informações e sistemas na empresa.
“Nomeamos a Verizon Business para conduzir uma PCI Forensic Investigation (PFI) independente. Também designamos a PricewaterhouseCoopers (PwC) para realizar uma auditoria abrangente de políticas, protocolos e tecnologias. Isso ajudaria a aumentar a resiliência e a preparação para mitigar ameaças de ataques cibernéticos ilegais”, escrevem.
As violações de dados da Juspay foram publicadas pela primeira vez no portal singaporiano The Business Times, no dia 12 de dezembro de 2020. Mas foi o Bleeping Computer que publicou mais detalhes sobre o caso, além de uma captura de tela de um usuário vendendo dados de mais 25 empresas.
Fontes: Rajshekhar Rajaharia; Times of India; Juspay (1), (2); The Business Times; Bleeping Computer.