اطلاعات ۱۰۰ میلیون کارت اعتباری در دارک وب فاش شد

طبق ادعای یک محقق حوزه امنیت سایبری، اطلاعات شخصی و حساس حدود ۱۰۰ میلیون کارت اعتباری روی دارک وب فاش شده است. این اطلاعات شامل نام کامل، شماره تلفن‌ها، آدرس‌های ایمیل افراد و چهار رقم اول و آخر کارت‌ها می‌شود.

ظاهراً این ایراد و نشت اطلاعات مربوط به شرکت پرداخت Juspay است که مراودات مالی هند و برخی موسسه‌های بین‌الملی مانند شرکت آمازون، MakeMyTrip و Swiggy را بر عهده دارد. گزارش‌هایی که در اختیار وب‌سایت Gadgets 360 گذاشته شده ادعا می‌کنند که داده‌های لو رفته و مرتبط به دارک وب، حداقل تراکنش‌های بین سال‌های ۲۰۱۷ تا ۲۰۲۰ را شامل می‌شود. این تراکنش‌ها شامل چندین دسته از اطلاعات شخصی صاحبان هندی این کارت‌ها است؛ دسته‌هایی که شامل تاریخ انقضا کارت، آی‌دی مخصوص مشتری و رقم‌های ابتدایی و انتهایی هر کارت می‌شوند. با این حال به نظر می‌رسد که برخی تراکنش‌های خاص و یا سفارش‌های مخصوص خرید در بین موارد لو رفته جای ندارند. لازم به ذکر است که این اطلاعات با ترکیب جزئیات تماس اشخاص می‌توانند در حمله‌های فیشینگ یا موارد سرقت دیگر، تاثیر ناخوشایندی روی زندگی صاحبان این کارت‌ها بگذارند.

«راجاهاریا» محقق حوزه امنیت سایبری اولین شخصی است که در اوایل این هفته درز این اطلاعات را گزارش کرد؛ او به وب‌سایت Gadgets 360 اطلاع داد که داده‌های فاش شده به تازگی توسط یک هکر روی دارک وب برای فروش قرار گرفته‌اند:

هکر مذکور از طریق تلگرام با خریداران خود ارتباط برقرار می‌کرد و از آن‌ها می‌خواست که مبلغ مورد نظر را از طریق بیت کوین بپردازند.

او به وب‌سایت یاد شده گزارش کرده که این اطلاعات تحت نام Juspay روی دارک وب معامله می‌شده‌اند و او گمان می‌کند که به وسیله مشاهده برخی مسائل پی برده که شخص مذکور در ارتباط با شرکت مورد بحث است. شرکت Juspay هم به تازگی با این وب‌سایت مکالمه داشته و درز برخی اطلاعات را تایید کرده ولی جزئیات بیشتری را در مورد اشخاص مسئول به اشتراک نگذاشته است.

محقق مذکور مشاهدات و مدارک خود را علنی کرده است؛ او داده‌های بعضی از فیلدهای پایگاه داده MySQL را با اطلاعاتی که از هکر Juspay دریافت کرده مطابقت داده و به مورد خاصی برخورد کرده است:

هر دوی آن‌ها دقیقاً مشابه یکدیگر بودند

ویمال کومار (Vimal Kumar) موسس شرکت Juspay بدون اشاره به آخرین داده‌های لو رفته گزارش کرده که در ۱۸ آگوست «اقدامی غیرمجاز شناسایی شده که حین عملیات خنثی شده است»:

هیچ شماره کارت، مدارک مالی و یا تراکنش خاصی به بیرون درز نکرده است

کومار در ادامه اظهاراتش ذکر کرده است که ارقام ابتدایی و انتهایی شماره کارت تنها اهداف نمایشی دارند و برای سهولت کاربران استفاده می‌شوند؛ بنابراین نیازی به نگرانی نیست. راجاهاریا با اشاره به این مورد ذکر کرده است که با وجود نمایشی بودن، اگر هکر بتواند الگوی رمزگذاری را بیایبد، می‌تواند ارقام کامل و در نتیجه رمز کارت را به دست آورد. ظاهراً کومار و محقق مذکور در این زمینه موافق نیستند. کومار این‌گونه مواضع خود را شرح می‌دهد:

ما از هزاران حالت همراه چندین الگوریتم به اضافه رقم salt (رقمی که به شماره کارت افزوده می‌شود) برای رمزگذاری استفاده می‌کنیم. امکان ندارد که حتی با منابع کافی محاسباتی بتوان الگوریتم‌های ما را مهندسی معکوس کرد.

 شرکت Juspay به تازگی نمونه‌هایی از موسسه همکار خود موسوم به Cyble دریافت کرده است که فعالیت‌های غیرمجاز و دست‌یابی به سرور در همان روز به خصوص را تایید می‌کنند. مدیر این شرکت اشاره کرده که درزهای امنیتی زیادی را که توسط توسعه دهندگان استفاده می‌شده است، در برخی از کلیدهای ورود قدیمی خود یافته و برای همه آن‌ها فرایند تایید دو مرحله‌ای را اعمال کرده است. با این حال باری دیگر شاهد مخالفت راجاهاریا هستیم که روی امنیت ضعیف حال حاضر سرورهای این شرکت تاکید می‌کند.

داده‌های موجود روی وب‌سایت Juspay نشان می‌دهند که تیم توسعه دهندگان این شرکت به بیش از ۱۵۰ نفر می‌رسند و کاربران روزانه آن‌ها حدود ۵۰ میلیون نفر هستند. همچنین محصولات این شرکت در انجام روزانه ۴ میلیون تراکنش نقش دارند و «کیت توسعه دهنده سیستم» این محصولات روی بیش از ۱۰۰ میلیون مقصد و در حقیقت موسسه به کار گرفته می‌شوند. موسسه‌هایی نظیر آمازون، ایرتل (Airtel)، فلیپ‌کارت (Flipkart)، Vodafone Idea، Swiggy و اوبر (Uber) از خدمات این شرکت استفاده می‌کنند و مشتریان اصلی آن به شمار می‌آیند.

شرکت Juspay که در سال ۲۰۱۲ تاسیس شد و تاکنون از پروتکل امنیتی PCI DSS استفاده می‌کند که بالاترین استانداردی است که سازمان PCI به موسسه‌های پرداخت اعطا می‌کند.

راجاهاریا ماه پیش متوجه شد که اطلاعات شخصی و اطلاعات کارت‌های اعتباری بیش از ۷ میلیون هندی از طریق دارک وب فاش شده است؛ افزون بر این، قبل‌تر گزارش شده بود که در سال ۲۰۱۹ اطلاعات بانکی حدود ۱.۳ میلیون هندی به دارک وب راه یافته است. به نظر می‌رسد جدای از این که هند به تدریج در حال حرکت به سوی معاملات دیجیتال است، هنوز شاهد ضعف‌های بزرگی در امنیت سایبری آن هستیم. فقدان یک قانون مشخص درباره حفاظت‌های حریم شخصی از دیگر مواردی است که هیچ تهعدی را روی شرکت‌های این چنینی اجبار نمی‌کند.