Dave数据遭泄露，影响750万用户

Dave数据遭泄露，影响750万用户

Dave是为客户提供透支保护和预借款服务的一家公司，近期该公司遭受数据泄露攻击，一份包含Dave 750万用户记录的数据库被攻击者在网上拍卖，随后被免费发布在黑客论坛上。

作为一家金融科技公司，Dave允许用户关联个人银行账户，可以根据用户账单金额提前借款给客户，从而避免出现透支。用户只需要额外支付一定费用，便可获取最高100美元的贷款额度，但在还款前不能继续贷款。

上周五，一位攻击者在某黑客论坛上免费发布了包含7,516,691个Dave用户记录的数据库。

在我们就泄露事件与Dave取得联系后，Dave在第二天发表公告，表示公司出现数据库泄露事件。

Dave在昨晚回复BleepingComputer的一份声明中表示，数据库泄露的原因在于他们曾使用过的第三方数据服务提供商Waydev不久前遭受过黑客攻击。

“由于Waydev最近遭受过黑客攻击，因此攻击者获得了Dave部分客户数据的未授权访问权限，其中包括用户密码信息，这些密码经过bcrypt处理，以哈希形式存储(bcrypt是业内认可并采用的一种哈希算法)。”

“被窃取的信息中还包括客户的部分个人信息，如姓名、电子邮件地址、出生年月、家庭住址和手机号码。值得庆幸的是，这些信息并不涉及银行账号、信用卡号、交易记录，或者任何的明文密码。目前还没有证据表明此次事件波及到具体用户账户，也没有任何用户因此遭受财产损失。”

“事件发生以后，Dave立即展开紧急调查，并与执法部门(包括FBI)合作处理该事件。目前调查仍在进行中，我们密切关注到有攻击者声称已破解部分密码，并在尝试出售用户数据。此外，Dave安全团队已对系统采取了紧急加固，正全天候工作中，确保用户数据安全。Dave正在向所有用户告知此次事件，已强制重置所有用户的密码。Dave还聘请了高级网络安全顾问CrowdStrike，协助解决此次事件。”

目前我们并不知道Waydev被攻击的具体过程，但已经与对方取得联系。

根据我们已获取的样本，此次泄露的数据中包括姓名、电话、住址、出生年月、加密的社保号、电子邮件地址，以及经过Bcrypt哈希处理的密码。

虽然Dave已强制重置所有账户的密码，但如果用户曾在其他网站上使用过相同的密码，那么仍然存在安全风险。为了避免出现这种情况，我们强烈建议相关用户立即更改其他站点上的密码。

从拍卖到免费提供

虽然Dave基本上及时并且负责任地披露了此次数据泄露事件，但这个事情其实并没有那么简单。

在本月初，网络情报公司Cyble与BleepingComputer取得联系，称有攻击者正在黑客论坛上拍卖Dave数据库。当时Cyble已经向Dave提供了拍卖的相关信息，Dave表示该问题正在处理中。

图1. 被拍卖的Dave数据(经BleepingComputer打码处理)

除了拍卖Dave数据外，这名攻击者还拍卖了Swvl.com以及Dunzo.com的数据库。2020年7月11日，Dunzo发表公告，称公司遭到数据泄露攻击。

图2. 被拍卖的Dunzo数据(经BleepingComputer打码处理)

大约在2020年7月14日，黑客论坛上删除了拍卖Dave数据的帖子，据Cyble了解到的信息，该数据已私下售出，售价约为16,000美元。

2020年7月24日，名为ShinyHunter的泄露数据卖方在另一个黑客论坛上免费公布了整个数据库。

图3. 在黑客论坛上被免费传播的Dave数据库

被泄露出来的Dave数据库中包含7,516,691条用户记录以及3,092,396个电子邮件地址。如前文所述，密码经过Bcrypt加密，此外数据库中还包含经过加密的社保号码。

ShinyHunter是非常知名的泄露数据卖方，过去曾销售、泄露过大量数据库，包括HomeChef、 ChatBooks、 Chronicle.com、 Wattpad以及Tokopedia。

目前我们尚不清楚ShinyHunter为何会直接泄露该数据库，不采用售卖方式。考虑到数据库已被泄露，其他攻击者可能会破解密码哈希，在凭据碰撞攻击中使用这些用户。

这里必须再强调一遍，请大家及时修改密码，不要在其他网站上使用在Dave app中使用过的相同密码。