Juspay ने लाखों ग्राहकों को प्रभावित करने वाले बड़े पैमाने पर डेटा ब्रीच को खेला, यह कहते हुए कि किसी भी संवेदनशील ग्राहक की जानकारी का खुलासा नहीं किया है।
बेंगलुरु स्थित कंपनी ने एक शोधकर्ता द्वारा डार्क वेब पर बेचे गए 100 मिलियन रिकॉर्ड की खोज करने के पांच महीने बाद उल्लंघन को स्वीकार किया। गोस्पे का दावा है कि उल्लंघन मीडिया द्वारा उकसाया गया था, जिससे यह अनुपातहीन हो गया।
भारतीय भुगतान प्रोसेसर अमेज़न, स्विगी, मेकमायट्रिप, वोडाफोन, उबेर, ओला और अन्य ई-कॉमर्स प्लेटफार्मों के माध्यम से चार मिलियन से अधिक दैनिक लेनदेन संभालता है
भारतीय भुगतान प्रोसेसर Juspay ने स्वीकार किया कि यह बड़े पैमाने पर डेटा उल्लंघन को नष्ट कर रहा है
भारतीय भुगतान प्रोसेसर जेस्पे ने एक बयान जारी कर कहा कि यह 18 अगस्त, 2020 को एक अलग भंडारण प्रणाली पर एक साइबर हमले का शिकार था। कंपनी ने कहा कि डेटा भंग तब हुआ जब “पुराना, गैर-पुनर्नवीनीकरण एडब्ल्यूएस एक्सेस कुंजी का शोषण किया गया, जो अनधिकृत पहुंच को सक्षम करता है और एक स्वचालित सिस्टम अलर्ट को ट्रिगर करता है।” ।
गोस्पे ने कहा कि डेटा ब्रीच की जनता को सूचित करने में उसकी विफलता थी क्योंकि पीड़ित खतरे में नहीं थे।
कंपनी के बयान में कहा गया है, “हमारी प्राथमिकता व्यापारियों को सूचित करना था और एक प्रचुर सावधानी के तौर पर, बाद में सत्यापन के बावजूद कि एपीआई कुंजी सुरक्षित हैं, नई एपीआई कुंजी जारी की गईं।”
बेंगलुरु स्थित भुगतान प्रोसेसर ने फ्रीलांस साइबर सिक्योरिटी एक्सपर्ट राजशिखर राजहरिया द्वारा ब्रीच होने के पांच महीने बाद खुलासा करने के बाद डेटा ब्रीच को स्वीकार किया।
Juspay डेटा ब्रीच से एक सौ मिलियन ग्राहक प्रभावित हुए हैं
जस्पे ने पुष्टि की कि प्रच्छन्न कार्ड डेटा और कार्ड छाप के साथ 35 मिलियन रिकॉर्ड हैक किए गए थे। इसी तरह, 100 मिलियन “गैर-गुमनाम” उपयोगकर्ता वर्णनात्मक जानकारी जिसमें ईमेल आईडी और फोन नंबर शामिल थे, को अगस्त 2020 के उल्लंघन में अनधिकृत हमलावरों द्वारा एक्सेस किया गया था।
शल्य चिकित्सा कलरव डेटा में नाम, मोबाइल फोन नंबर और बैंक के नाम शामिल थे। और कंपनी 42 उल्लेख किया लीक किए गए डेटा में कार्ड का ब्रांड (वीजा / मास्टर कार्ड), कार्ड की समाप्ति तिथि, कार्ड के अंतिम चार अंक, नकाबपोश कार्ड नंबर, कार्ड का प्रकार (क्रेडिट / डेबिट), कार्ड पर अंकित नाम, कार्ड छाप सहित 16 क्षेत्र शामिल हैं। , अंतर्राष्ट्रीय कार्ड पहचान संख्या, ग्राहक पहचान संख्या और व्यापारी खाता आईडी।
हालाँकि, GoSpy दावा किया “100 मिलियन कार्डधारक डेटा का दावा करने वाली इन रिपोर्टों” से समझौता किया गया है या “भारत का सबसे बड़ा उल्लंघन” पूरी तरह से गलत है।
भुगतान प्रोसेसर ने यह भी संकेत दिया कि उल्लंघन एक पृथक प्रणाली तक सीमित था जो व्यापारी के उपयोगकर्ता इंटरफ़ेस पर प्रदर्शन उद्देश्यों के लिए कार्ड के विवरणों को संग्रहीत करता है। नतीजतन, प्रकट विवरण का उपयोग लेनदेन को पूरा करने के लिए नहीं किया जा सकता है क्योंकि नकाबपोश कार्ड डेटा केवल कुछ क्रेडिट कार्ड नंबर प्रदर्शित करता है।
कंपनी ने स्पष्ट किया कि जानकारी में कोई अनुरोध या लेनदेन की जानकारी नहीं है और यह कि “सभी पूर्ण ग्राहक कार्ड नंबर, आदेश की जानकारी, कार्ड व्यक्तिगत पहचान संख्या या पासवर्ड सुरक्षित हैं।”
Juspay डेटा का विपणन डार्क वेब मार्केटप्लेस में किया जाता है
राजाहरिया ने कहा कि वह 8,000 बिटकॉइन के लिए डार्क वेब मार्केटप्लेस में जेस्पे डेटा वेयरहाउस बेचने पर चूक गए हैं।
एक साइबर सिक्योरिटी रिसर्चर ने कहा: “3 जनवरी को, मैंने डार्क वेब पर एक वेंडर का सामना किया, जिसमें डेटा की दो फाइलें, एक ईमेल एड्रेस और 100 मिलियन ग्राहकों के मोबाइल फोन नंबर थे, जबकि दूसरे में 45 मिलियन डिटेल के साथ कार्ड डेटा संग्रहीत था। लेन-देन ”।
राजाहरिया का मानना था कि जेस्पे डेटा ब्रीच से उत्पन्न जोखिम शुरू में भुगतान प्रोसेसर की तुलना में अधिक थे। वह नोट करता है कि कार्ड के फ़िंगरप्रिंट को नकाबपोश कार्ड नंबर के साथ संग्रहीत किया गया था जिससे अंततः छह छिपे हुए नंबरों का खुलासा हो सकता है।
राजहरिया ने कहा, “अगर हैकर कार्ड के फिंगरप्रिंट के लिए एक एल्गोरिथ्म खोज सकता है, तो वह आसानी से सभी नंबरों का पता लगा सकता है।”
इसके अतिरिक्त, ग्राहकों के ईमेल, फोन नंबर और आंशिक क्रेडिट कार्ड विवरण होने से हैकर्स को लक्षित फ़िशिंग संदेश बनाने की अनुमति मिलती है जो ग्राहकों को उनकी पूर्ण भुगतान जानकारी का खुलासा करने में मदद करते हैं।
अमेज़ॅन जांचकर्ताओं ने कहा कि उन्हें गॉस्पी डेटा ब्रीच से कोई प्रभाव नहीं पड़ा। इसी तरह, स्विगी ने आश्वासन दिया कि “इस घटना में हमारे ग्राहक की 16-अंकीय कार्ड संख्या जैसे कोई भी उपयोगी बैंकिंग जानकारी से समझौता नहीं किया गया था”।
भारतीय क्रेडिट कार्ड लेनदेन में दो-कारक प्रमाणीकरण की आवश्यकता होती है, लेकिन अंतर्राष्ट्रीय लेनदेन में इस सुरक्षा सुविधा का अभाव होता है। भारतीय रिज़र्व बैंक (RBI) कथित तौर पर भविष्य में इसी तरह के डेटा उल्लंघनों को रोकने के लिए भुगतान पूल लाइसेंसिंग आवश्यकताओं को लागू करने पर चर्चा कर रहा है।
जेस्पे के सीईओ सरियो नायर कहते हैं गोरोकुल। “जबकि इस ब्रीच के कुछ डेटा को बाधित किया गया है, इस बात की बहुत वास्तविक संभावना है कि हमलावर इस बाधा को दूर कर सकते हैं। भले ही वे ऐसा न करें, चोरी की गई जानकारी का उपयोग जटिल सोशल इंजीनियरिंग या फ़िशिंग हमलों के लिए किया जा सकता है।”
भुगतान प्रोसेसर Juspay ने #databreach को 100 मिलियन ग्राहकों को प्रभावित किया, जिसने मीडिया पर उल्लंघन को कम करने का आरोप लगाया। # साइबरसिटी #respectdata
नैय्यर नींद के समय के बारे में भी चिंतित थे, यह देखते हुए कि मध्य अगस्त डेटा उल्लंघन जो अब रिपोर्ट किया गया है “इंगित करता है कि गोस्पे के सुरक्षा पैकेज या इसके सुरक्षा कार्यों में कुछ खामियां हो सकती हैं।”
“वेब गुरु। कम्युनिकेटर। बियर अधिवक्ता। घोर नम्र उद्यमी।”
