Όπως ανακαλύφθηκε από έναν ερευνητή ασφαλείας, προσωπικά στοιχεία όπως τα αναγνωριστικά email, τα πλήρη ονόματα, οι αριθμοί τηλεφώνου και τα στοιχεία χρεωστικής και πιστωτικής κάρτας περισσότερων από 100 εκατομμυρίων χρηστών της Juspay έχουν παραβιαστεί.
Ο hacker πίσω από την παραβίαση, προχώρησε σε πώληση των στοιχείων αυτών στο Dark Web.
Η start-up με έδρα το Μπανγκαλόρ, επεξεργάζεται πάνω από 4 εκατομμύρια συναλλαγές αξίας 1000 εκατομμυρίων Rs κάθε μέρα σε πλατφόρμες ηλεκτρονικού εμπορίου όπως η Amazon, η Swiggy, η Ola και άλλες.
Εάν ένα άτομο έχει πραγματοποιήσει διαδικτυακές πληρωμές σε οποιαδήποτε από αυτές τις πλατφόρμες και η επεξεργασία της πληρωμής έχει γίνει από την Juspay, υπάρχει πιθανότητα να παραβιαστούν τα στοιχεία της κάρτας του.
Η Juspay είχε ανακοινώσει την παραβίαση που πραγματοποιήθηκε στις 18 Αυγούστου 2020 και με μία επίσημη δήλωση, επέμεινε ότι όλα τα δεδομένα των πελατών της, συμπεριλαμβανομένων των PIN, είναι «ασφαλή».
Σύμφωνα με τον Rajshekhar Rajaharia, τον ερευνητή που ανακάλυψε αυτά τα δεδομένα στο Dark Web πριν από λίγες ημέρες, ο πωλητής ζητάει 8.000 $ σε Bitcoin για τα δεδομένα.
Η διαρροή δεδομένων θα μπορούσε να κάνει τους κατόχους καρτών επιρρεπείς σε απάτες ηλεκτρονικού ψαρέματος.
Σύμφωνα με την εταιρεία επεξεργασίας πληρωμών, η παραβίαση «περιορίστηκε σε ένα μεμονωμένο περιστατικό» και οι αναφορές των μέσων ενημέρωσης «φαίνεται να μεγαλοποιούν το συμβάν».
Υποβαθμίζοντας το περιστατικό, η εταιρεία δήλωσε ότι “η παραβίαση περιορίστηκε σε ένα απομονωμένο σύστημα που περιέχει μη ευαίσθητη κρυπτογραφημένη κάρτα που χρησιμοποιείται κυρίως για σκοπούς προβολής UI του εμπόρου και δεν μπορεί να χρησιμοποιηθεί για την ολοκλήρωση μιας συναλλαγής.”
Ο Tobby Simon, ιδρυτής και πρόεδρος του Ιδρύματος Synergia, κατηγόρησε της Juspay επειδή δεν αποκάλυψε την παραβίαση στους πελάτες αμέσως και χαρακτήρισε την εταιρεία «εξαιρετικά ανεύθυνη».
Ο Rajaharia επίσης απέρριψε τους ισχυρισμούς της εταιρείας ότι επειδή παραβιάστηκαν μόνο μη ευαίσθητα δεδομένα, δεν υπάρχει κίνδυνος για τους πελάτες. Σύμφωνα με τον ερευνητή ο πιθανός κίνδυνος μιας τέτοιας παραβίασης είναι υψηλός, ειδικά επειδή τα δεδομένα δακτυλικών αποτυπωμάτων της κάρτας έχουν παραβιαστεί και εάν ένας hacker μπορέσει να αποκτήσει πρόσβαση στον κρυπτογραφημένο αλγόριθμο, θα οδηγούσε σε έκθεση όλων των δεδομένων της κάρτας.
