Dave数据遭泄露,影响750万用户
Dave数据遭泄露,影响750万用户
Dave是为客户提供透支保护和预借款服务的一家公司,近期该公司遭受数据泄露攻击,一份包含Dave 750万用户记录的数据库被攻击者在网上拍卖,随后被免费发布在黑客论坛上。
作为一家金融科技公司,Dave允许用户关联个人银行账户,可以根据用户账单金额提前借款给客户,从而避免出现透支。用户只需要额外支付一定费用,便可获取最高100美元的贷款额度,但在还款前不能继续贷款。
上周五,一位攻击者在某黑客论坛上免费发布了包含7,516,691个Dave用户记录的数据库。
在我们就泄露事件与Dave取得联系后,Dave在第二天发表公告,表示公司出现数据库泄露事件。
Dave在昨晚回复BleepingComputer的一份声明中表示,数据库泄露的原因在于他们曾使用过的第三方数据服务提供商Waydev不久前遭受过黑客攻击。
“由于Waydev最近遭受过黑客攻击,因此攻击者获得了Dave部分客户数据的未授权访问权限,其中包括用户密码信息,这些密码经过bcrypt处理,以哈希形式存储(bcrypt是业内认可并采用的一种哈希算法)。”
“被窃取的信息中还包括客户的部分个人信息,如姓名、电子邮件地址、出生年月、家庭住址和手机号码。值得庆幸的是,这些信息并不涉及银行账号、信用卡号、交易记录,或者任何的明文密码。目前还没有证据表明此次事件波及到具体用户账户,也没有任何用户因此遭受财产损失。”
“事件发生以后,Dave立即展开紧急调查,并与执法部门(包括FBI)合作处理该事件。目前调查仍在进行中,我们密切关注到有攻击者声称已破解部分密码,并在尝试出售用户数据。此外,Dave安全团队已对系统采取了紧急加固,正全天候工作中,确保用户数据安全。Dave正在向所有用户告知此次事件,已强制重置所有用户的密码。Dave还聘请了高级网络安全顾问CrowdStrike,协助解决此次事件。”
目前我们并不知道Waydev被攻击的具体过程,但已经与对方取得联系。
根据我们已获取的样本,此次泄露的数据中包括姓名、电话、住址、出生年月、加密的社保号、电子邮件地址,以及经过Bcrypt哈希处理的密码。
虽然Dave已强制重置所有账户的密码,但如果用户曾在其他网站上使用过相同的密码,那么仍然存在安全风险。为了避免出现这种情况,我们强烈建议相关用户立即更改其他站点上的密码。
从拍卖到免费提供
虽然Dave基本上及时并且负责任地披露了此次数据泄露事件,但这个事情其实并没有那么简单。
在本月初,网络情报公司Cyble与BleepingComputer取得联系,称有攻击者正在黑客论坛上拍卖Dave数据库。当时Cyble已经向Dave提供了拍卖的相关信息,Dave表示该问题正在处理中。
除了拍卖Dave数据外,这名攻击者还拍卖了Swvl.com以及Dunzo.com的数据库。2020年7月11日,Dunzo发表公告,称公司遭到数据泄露攻击。
大约在2020年7月14日,黑客论坛上删除了拍卖Dave数据的帖子,据Cyble了解到的信息,该数据已私下售出,售价约为16,000美元。
2020年7月24日,名为ShinyHunter的泄露数据卖方在另一个黑客论坛上免费公布了整个数据库。
被泄露出来的Dave数据库中包含7,516,691条用户记录以及3,092,396个电子邮件地址。如前文所述,密码经过Bcrypt加密,此外数据库中还包含经过加密的社保号码。
ShinyHunter是非常知名的泄露数据卖方,过去曾销售、泄露过大量数据库,包括HomeChef、 ChatBooks、 Chronicle.com、 Wattpad以及Tokopedia。
目前我们尚不清楚ShinyHunter为何会直接泄露该数据库,不采用售卖方式。考虑到数据库已被泄露,其他攻击者可能会破解密码哈希,在凭据碰撞攻击中使用这些用户。
这里必须再强调一遍,请大家及时修改密码,不要在其他网站上使用在Dave app中使用过的相同密码。
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
任天堂源代码泄露,引出《超级马里奥64》隐藏24年的角色
任天堂又数据泄露了?常规操作。 不同的是,此次源代码泄露的历史可以上溯到 Super NES 时期。泄露代码的规模巨大,以至于被形容为“Gigaleak”。 此次泄露内容包含了 Super NES、Game Boy 和 N64 平台马里奥、马里奥赛车、塞尔达,F-Zero 和口袋妖怪系列游戏的可编译代码和素材。其中还有此前从未曝光的游戏内容和声音文件。 虽然任天堂拒绝置评,但相关游戏的开发者已经确认了泄露代码的真实性。 只能说,尽管任天堂一再被摸底,但如此大量的源代码泄露依然给游戏玩家乃至吃瓜群众展开了一个罕见的、未开放的特殊视角。 比如,作为90年代的流行游戏,《超级马里奥》的源代码同样受到了很多的关注。除了任天堂的招牌形象马里奥,玩家们也还记得那个身上带点绿的弟弟路易。 然而,在第一款真正意义上的3D化的平台游戏《超级马里奥64》中,路易却没有出现。据悉,在当年游戏开发过程中任天堂原本计划为游戏添加分屏多人游戏模式(玩家能够分别操作马里奥与路易两个角色合作通关),不过这个模式最终没有完成。 惊喜的是,一些玩家在泄露的《超级马里奥64》源代码中,发现了路易的角色模型文件,虽然制作比较...
- 下一篇
统信UOS已适配1000+款华为鲲鹏产品:日常办公可取代Windows
7月28日,华为在深圳主办了一场“深圳·进而有为 华为云与计算城市峰会2020”,统信软件作为华为重要的基础软件合作伙伴受邀参展,在现场展示了最新的UOS桌面操作系统产品。 展示中,搭载UOS系统的华为鲲鹏台式电脑,配合中矗打印机,可以完整体验日常办公使用场景。UOS简洁美观的交互设计、流畅智能的操作体验,也给与会观众留下了深刻印象。 据介绍,目前基于统信UOS、华为鲲鹏平台的整机、应用、外设的适配已经超过1000款,在日常办公领域已经完全具备替换Windows系统的能力。 统信软件称,UOS系统具有安全稳定、智能易用的特点,在党政军、金融等核心应用领域具有较强的产品竞争力,已成为政企信创转型升级的首选操作系统品牌。 根据统信软件公布的最新消息,UOS桌面操作系统V20个人版将在本月底发布,提供耳目一新的桌面环境、双内核机制、全新设计的体验工具、系统备份还原功能、增值服务,还可以联网自动激活。
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- CentOS8安装MyCat,轻松搞定数据库的读写分离、垂直分库、水平分库
- Hadoop3单机部署,实现最简伪集群
- Docker安装Oracle12C,快速搭建Oracle学习环境
- CentOS7安装Docker,走上虚拟化容器引擎之路
- CentOS6,7,8上安装Nginx,支持https2.0的开启
- SpringBoot2配置默认Tomcat设置,开启更多高级功能
- Jdk安装(Linux,MacOS,Windows),包含三大操作系统的最全安装
- SpringBoot2初体验,简单认识spring boot2并且搭建基础工程
- Docker使用Oracle官方镜像安装(12C,18C,19C)
- CentOS7编译安装Gcc9.2.0,解决mysql等软件编译问题