Juspay, una società con sede in India che offre servizi di elaborazione dei pagamenti per aziende come Amazon e Swiggy, ha riconosciuto una massiccia violazione dei dati che colpisce fino a 30,5 milioni di utenti, i cui numeri di carta mascherati e dati personali sono stati esposti.
Il ricercatore sulla sicurezza delle informazioni Rajshekhar Rajaharia ha segnalato per la prima volta l’incidente attraverso il suo account Twitter, affermando che i dati compromessi sono disponibili per la vendita sul dark web: “Questo annuncio di database è stato pubblicato da un hacker sconosciuto che fa affari attraverso i canali di Telegram”, ha affermato.
Secondo Juspay, l’incidente risale al 18 agosto 2020, quando la società ha rilevato attività sospette sui propri sistemi di archiviazione: “Gli autori delle minacce hanno abusato di una vecchia chiave di Amazon Web Services (AWS) per ottenere un accesso non autorizzato. Attiviamo un avviso di sicurezza automatico dopo un utilizzo improvviso delle risorse di sistema”. I team di sicurezza di Juspay hanno monitorato l’intrusione e hanno interrotto l’accesso illegittimo.
Anche se la società ammette che sono trapelati oltre 30 milioni di registri, sottolinea che i dati finanziari esposti erano mascherati: “Le carte interessate sono state utilizzate solo per scopi di visualizzazione e non possono essere utilizzate per eseguire transazioni fraudolente“, afferma Juspay.
Alla domanda sul suo ritardo nella divulgazione, un portavoce di Juspay ha affermato: “La nostra priorità era informare i nostri partner commerciali e, come meccanismo di sicurezza, emettere nuove chiavi API per prevenire ulteriori danni“. Juspay ha anche detto che tutti i suoi clienti erano al sicuro durante l’incidente.
D’altra parte, Rajaharia afferma che le carte mascherate interessate mostrano solo sei cifre. Tuttavia, ogni carta include un’impronta digitale (un numero di carta di credito con hash); ciò potrebbe consentire agli hacker malintenzionati di decrittografare i numeri di qualsiasi carta compromessa. L’esperto afferma che gli hacker richiedono 8.000 USD in Bitcoin in cambio dell’accesso al database.
Questo è un altro esempio dell’importanza di implementare metodi di autenticazione a due fattori (2FA) nelle piattaforme di pagamento. L’India ha stabilito che i pagamenti sono un argomento 2FA, ma l’uso internazionale di queste carte non ha un meccanismo di protezione del genere e gli hacker lo sanno.