信息來源:cnbeta
據(jù)外媒ZDNet報道,數(shù)字銀行應(yīng)用和科技獨角獸Dave.com周日證實了一個安全漏洞,此前有黑客在公共論壇上公布了7516625名用戶的詳細資料。在周日致ZDNet的一封電子郵件中,Dave表示,安全漏洞源于前商業(yè)合作伙伴Waydev的網(wǎng)絡(luò),Waydev是一個工程團隊使用的分析平臺。
“由于Waydev(Dave的前第三方服務(wù)提供商之一)的漏洞,最近有惡意方未經(jīng)授權(quán)訪問了Dave的某些用戶數(shù)據(jù)?!币晃话l(fā)言人告訴ZDNet。
該公司表示,已經(jīng)堵住了黑客的入口點,并正在通知客戶該事件。Dave應(yīng)用密碼被曝光后,也正在重新設(shè)置。Dave發(fā)言人稱:“當(dāng)Dave意識到這一事件后,公司立即啟動了調(diào)查,調(diào)查正在進行中,并正在與執(zhí)法部門協(xié)調(diào),包括與FBI協(xié)調(diào),圍繞惡意方聲稱已經(jīng)‘破解’了其中一些密碼,并試圖出售Dave客戶數(shù)據(jù)?!?
該公司還邀請了網(wǎng)絡(luò)安全公司CrowdStrike協(xié)助調(diào)查。
ZDNet于7月25日凌晨得知了這一安全漏洞。有讀者向ZDNet爆料稱,有黑客在RAID上提供Dave應(yīng)用的用戶數(shù)據(jù),該論壇以黑客泄露數(shù)據(jù)庫的首選之地而聞名。這名黑客“ShinyHunters”也曾入侵和泄露/出售許多其他公司的數(shù)據(jù),包括Mathway、Tokopedia、Wishbone等。
Dave數(shù)據(jù)目前以免費下載的形式提供--在論壇成員使用論壇積分解鎖下載鏈接后。該數(shù)據(jù)包括豐富的信息,如真實姓名、電話號碼、電子郵件、出生日期和家庭地址。數(shù)據(jù)中還包括社會安全號碼,但Dave表示這些細節(jié)都被加密了--ZDNet在獲得數(shù)據(jù)副本后證實了這一點。
密碼也包括在內(nèi),但使用bcrypt進行了散列,這種散列功能可以防止黑客查看明文密碼。Dave表示,目前,他們沒有證據(jù)表明黑客利用這些數(shù)據(jù)訪問用戶賬戶并執(zhí)行任何未經(jīng)授權(quán)的行動。