作為一家金融科技公司,Dave允許用戶關聯個人銀行賬戶,可以根據用戶賬單金額提前借款給客戶,從而避免出現透支。用戶只需要額外支付一定費用,便可獲取最高100美元的貸款額度,但在還款前不能繼續貸款。
上周五,一位攻擊者在某黑客論壇上免費發布了包含7,516,691個Dave用戶記錄的數據庫。
在我們就泄露事件與Dave取得聯系后,Dave在第二天發表公告,表示公司出現數據庫泄露事件。
Dave在昨晚回復BleepingComputer的一份聲明中表示,數據庫泄露的原因在于他們曾使用過的第三方數據服務提供商Waydev不久前遭受過黑客攻擊。
“由于Waydev最近遭受過黑客攻擊,因此攻擊者獲得了Dave部分客戶數據的未授權訪問權限,其中包括用戶密碼信息,這些密碼經過bcrypt處理,以哈希形式存儲(bcrypt是業內認可并采用的一種哈希算法)。”
“被竊取的信息中還包括客戶的部分個人信息,如姓名、電子郵件地址、出生年月、家庭住址和手機號碼。值得慶幸的是,這些信息并不涉及銀行賬號、信用卡號、交易記錄,或者任何的明文密碼。目前還沒有證據表明此次事件波及到具體用戶賬戶,也沒有任何用戶因此遭受財產損失。”
“事件發生以后,Dave立即展開緊急調查,并與執法部門(包括FBI)合作處理該事件。目前調查仍在進行中,我們密切關注到有攻擊者聲稱已破解部分密碼,并在嘗試出售用戶數據。此外,Dave安全團隊已對系統采取了緊急加固,正全天候工作中,確保用戶數據安全。Dave正在向所有用戶告知此次事件,已強制重置所有用戶的密碼。Dave還聘請了高級網絡安全顧問CrowdStrike,協助解決此次事件。”
目前我們并不知道Waydev被攻擊的具體過程,但已經與對方取得聯系。
根據我們已獲取的樣本,此次泄露的數據中包括姓名、電話、住址、出生年月、加密的社保號、電子郵件地址,以及經過Bcrypt哈希處理的密碼。
雖然Dave已強制重置所有賬戶的密碼,但如果用戶曾在其他網站上使用過相同的密碼,那么仍然存在安全風險。為了避免出現這種情況,我們強烈建議相關用戶立即更改其他站點上的密碼。
從拍賣到免費提供
雖然Dave基本上及時并且負責任地披露了此次數據泄露事件,但這個事情其實并沒有那么簡單。
在本月初,網絡情報公司Cyble與BleepingComputer取得聯系,稱有攻擊者正在黑客論壇上拍賣Dave數據庫。當時Cyble已經向Dave提供了拍賣的相關信息,Dave表示該問題正在處理中。
圖1.被拍賣的Dave數據(經BleepingComputer打碼處理)
除了拍賣Dave數據外,這名攻擊者還拍賣了Swvl.com以及Dunzo.com的數據庫。2020年7月11日,Dunzo發表公告,稱公司遭到數據泄露攻擊。
圖2.被拍賣的Dunzo數據(經BleepingComputer打碼處理)
大約在2020年7月14日,黑客論壇上刪除了拍賣Dave數據的帖子,據Cyble了解到的信息,該數據已私下售出,售價約為16,000美元。
2020年7月24日,名為ShinyHunter的泄露數據賣方在另一個黑客論壇上免費公布了整個數據庫。
圖3.在黑客論壇上被免費傳播的Dave數據庫
被泄露出來的Dave數據庫中包含7,516,691條用戶記錄以及3,092,396個電子郵件地址。如前文所述,密碼經過Bcrypt加密,此外數據庫中還包含經過加密的社保號碼。
ShinyHunter是非常知名的泄露數據賣方,過去曾銷售、泄露過大量數據庫,包括HomeChef、ChatBooks、Chronicle.com、Wattpad以及Tokopedia。
目前我們尚不清楚ShinyHunter為何會直接泄露該數據庫,不采用售賣方式。考慮到數據庫已被泄露,其他攻擊者可能會破解密碼哈希,在憑據碰撞攻擊中使用這些用戶。
這里必須再強調一遍,請大家及時修改密碼,不要在其他網站上使用在Daveapp中使用過的相同密碼。
