Dave數(shù)據(jù)遭泄露，影響750萬用戶

Dave是為客戶提供透支保護(hù)和預(yù)借款服務(wù)的一家公司，近期該公司遭受數(shù)據(jù)泄露攻擊，一份包含Dave 750萬用戶記錄的數(shù)據(jù)庫被攻擊者在網(wǎng)上拍賣，隨后被免費(fèi)發(fā)布在黑客論壇上。

作為一家金融科技公司，Dave允許用戶關(guān)聯(lián)個(gè)人銀行賬戶，可以根據(jù)用戶賬單金額提前借款給客戶，從而避免出現(xiàn)透支。用戶只需要額外支付一定費(fèi)用，便可獲取最高100美元的貸款額度，但在還款前不能繼續(xù)貸款。

[[335562]]

上周五，一位攻擊者在某黑客論壇上免費(fèi)發(fā)布了包含7,516,691個(gè)Dave用戶記錄的數(shù)據(jù)庫。

在我們就泄露事件與Dave取得聯(lián)系后，Dave在第二天發(fā)表公告，表示公司出現(xiàn)數(shù)據(jù)庫泄露事件。

Dave在昨晚回復(fù)BleepingComputer的一份聲明中表示，數(shù)據(jù)庫泄露的原因在于他們曾使用過的第三方數(shù)據(jù)服務(wù)提供商Waydev不久前遭受過黑客攻擊。

“由于Waydev最近遭受過黑客攻擊，因此攻擊者獲得了Dave部分客戶數(shù)據(jù)的未授權(quán)訪問權(quán)限，其中包括用戶密碼信息，這些密碼經(jīng)過bcrypt處理，以哈希形式存儲(chǔ)(bcrypt是業(yè)內(nèi)認(rèn)可并采用的一種哈希算法)。”

“被竊取的信息中還包括客戶的部分個(gè)人信息，如姓名、電子郵件地址、出生年月、家庭住址和手機(jī)號碼。值得慶幸的是，這些信息并不涉及銀行賬號、信用卡號、交易記錄，或者任何的明文密碼。目前還沒有證據(jù)表明此次事件波及到具體用戶賬戶，也沒有任何用戶因此遭受財(cái)產(chǎn)損失。”

“事件發(fā)生以后，Dave立即展開緊急調(diào)查，并與執(zhí)法部門(包括FBI)合作處理該事件。目前調(diào)查仍在進(jìn)行中，我們密切關(guān)注到有攻擊者聲稱已破解部分密碼，并在嘗試出售用戶數(shù)據(jù)。此外，Dave安全團(tuán)隊(duì)已對系統(tǒng)采取了緊急加固，正全天候工作中，確保用戶數(shù)據(jù)安全。Dave正在向所有用戶告知此次事件，已強(qiáng)制重置所有用戶的密碼。Dave還聘請了高級網(wǎng)絡(luò)安全顧問CrowdStrike，協(xié)助解決此次事件。”

目前我們并不知道Waydev被攻擊的具體過程，但已經(jīng)與對方取得聯(lián)系。

根據(jù)我們已獲取的樣本，此次泄露的數(shù)據(jù)中包括姓名、電話、住址、出生年月、加密的社保號、電子郵件地址，以及經(jīng)過Bcrypt哈希處理的密碼。

雖然Dave已強(qiáng)制重置所有賬戶的密碼，但如果用戶曾在其他網(wǎng)站上使用過相同的密碼，那么仍然存在安全風(fēng)險(xiǎn)。為了避免出現(xiàn)這種情況，我們強(qiáng)烈建議相關(guān)用戶立即更改其他站點(diǎn)上的密碼。

從拍賣到免費(fèi)提供

雖然Dave基本上及時(shí)并且負(fù)責(zé)任地披露了此次數(shù)據(jù)泄露事件，但這個(gè)事情其實(shí)并沒有那么簡單。

在本月初，網(wǎng)絡(luò)情報(bào)公司Cyble與BleepingComputer取得聯(lián)系，稱有攻擊者正在黑客論壇上拍賣Dave數(shù)據(jù)庫。當(dāng)時(shí)Cyble已經(jīng)向Dave提供了拍賣的相關(guān)信息，Dave表示該問題正在處理中。

除了拍賣Dave數(shù)據(jù)外，這名攻擊者還拍賣了Swvl.com以及Dunzo.com的數(shù)據(jù)庫。2020年7月11日，Dunzo發(fā)表公告，稱公司遭到數(shù)據(jù)泄露攻擊。

大約在2020年7月14日，黑客論壇上刪除了拍賣Dave數(shù)據(jù)的帖子，據(jù)Cyble了解到的信息，該數(shù)據(jù)已私下售出，售價(jià)約為16,000美元。

2020年7月24日，名為ShinyHunter的泄露數(shù)據(jù)賣方在另一個(gè)黑客論壇上免費(fèi)公布了整個(gè)數(shù)據(jù)庫。

被泄露出來的Dave數(shù)據(jù)庫中包含7,516,691條用戶記錄以及3,092,396個(gè)電子郵件地址。如前文所述，密碼經(jīng)過Bcrypt加密，此外數(shù)據(jù)庫中還包含經(jīng)過加密的社保號碼。

ShinyHunter是非常知名的泄露數(shù)據(jù)賣方，過去曾銷售、泄露過大量數(shù)據(jù)庫，包括HomeChef、 ChatBooks、 Chronicle.com、 Wattpad以及Tokopedia。

目前我們尚不清楚ShinyHunter為何會(huì)直接泄露該數(shù)據(jù)庫，不采用售賣方式。考慮到數(shù)據(jù)庫已被泄露，其他攻擊者可能會(huì)破解密碼哈希，在憑據(jù)碰撞攻擊中使用這些用戶。

這里必須再強(qiáng)調(diào)一遍，請大家及時(shí)修改密碼，不要在其他網(wǎng)站上使用在Dave app中使用過的相同密碼。