Dave数据泄露,影响750万用户Dave是一家为客户提供透支保护和预贷服务的公司。用户记录数据库被攻击者在线拍卖,随后免费发布在黑客论坛上。作为一家金融科技公司,Dave允许用户关联个人银行账户,可以根据用户的账单金额提前借款,避免透支。用户只需支付额外费用即可获得最高100美元的贷款额度,但还款前不能继续借款。周五,一名攻击者在黑客论坛上免费发布了一个包含7,516,691条Dave用户记录的数据库。在我们就泄露事件联系Dave后,Dave于第二天宣布公司发生了数据库泄露事件。Dave在昨晚回复BleepingComputer的声明中表示,数据库泄露的原因是他们使用的第三方数据服务提供商Waydev不久前被黑了。“由于Waydev最近的黑客攻击,攻击者获得了对Dave的一些客户数据的未授权访问权限,包括用户密码信息,这些数据是使用bcrypt(bcrypt是一种行业接受和采用的方法)哈希算法以哈希形式处理和存储的)。“被盗信息还包括客户的一些个人信息,如姓名、电子邮件地址、出生日期、家庭住址和手机号码。值得庆幸的是,这些信息不涉及银行帐号、信用卡号码、交易记录,或任何明文密码。目前没有证据表明该事件对特定用户账户造成影响,也没有用户因此遭受财产损失。””事件发生后,戴夫立即展开紧急调查,并与执法部门(包括FBI)沟通,正在合作处理这起事件。调查仍在进行中,我们正在密切关注一些声称已经破解了一些密码,并试图出售用户数据。此外,Dave安全团队已对系统进行了紧急加固,正在全天候工作以确保用户数据安全。Dave已将事件通知所有用户,并已强行重置所有用户密码,Dave还聘请了资深网络安全顾问CrowdStrike协助解决事件。目前我们还不知道Waydev攻击的具体过程,但我已经和他取得了联系。根据我们获得的样本,泄露的数据包括姓名、电话号码、地址、出生日期、加密的社会安全号码、电子邮件地址和Bcrypt哈希密码。虽然Dave已对所有帐户强制重置密码,但如果用户在其他网站上使用了相同的密码,仍然存在安全风险。为避免出现这种情况,我们强烈建议相关用户立即在其他网站上更改密码。从拍卖到免费提供尽管戴夫基本上及时负责任地披露了数据泄露事件,但事情实际上并没有那么简单。本月早些时候,网络情报公司Cyble就攻击者在黑客论坛上拍卖Dave数据库一事联系了BleepingComputer。当时Cyble已经向Dave提供了拍卖的相关信息,Dave表示正在处理中。图1.拍卖的Dave数据(由BleepingComputer编码)除了拍卖Dave数据外,攻击者还拍卖了Swvl.com和Dunzo.com的数据库。2020年7月11日,敦佐发布公告称,公司遭到数据泄露攻击。图2.拍卖Dunzo数据(由BleepingComputer编码)2020年7月14日左右,黑客论坛上删除了拍卖Dave数据的帖子。据Cyble了解到的信息,这些数据已经被私下出售。价格约为16,000美元。2020年7月24日,名为ShinyHunter的泄露数据卖家在另一个黑客论坛上免费发布了整个数据库。图3.在黑客论坛上免费分发的Dave数据库泄露的Dave数据库包含7,516,691条用户记录和3,092,396个电子邮件地址。如前所述,密码是Bcrypt加密的,数据库还包含加密的社会安全号码。ShinyHunter是著名的泄露数据卖家,过去曾出售和泄露大量数据库,包括HomeChef、ChatBooks、Chronicle.com、Wattpad和Tokopedia。目前还不清楚为什么ShinyHunter直接泄露了数据库,而不是出售它。鉴于数据库已被破坏,其他攻击者可能能够破解密码哈希以在凭证冲突攻击中使用这些用户。这里必须再次强调,请及时修改密码,不要在其他网站使用与Daveapp相同的密码。
