行业新闻与博客

一家美国金融科技巨头承认，在研究人员发现一个包含数百万条在线记录的数据库之后，该公司通过第三方供应商侵犯了客户的个人数据。

总部位于洛杉矶的 Dave 提供数字银行服务，在短短两年的运营后，2019年的估值达到 10 亿美元。

但是，过去一周有报道称，其客户的详细信息正在暗网上进行交易。多产的网络犯罪交易员 ShinyHunters 在星期五免费发布了这个宝库，尽管在之前的几周中，新用户在另一个论坛上对其进行了拍卖。

据称，此次运输中有超过 750 万条记录与 300 万个电子邮件地址相关。

上周末，戴夫（Dave）发表了正式声明，确认了这一违规行为。

“由于 Dave 的前第三方服务提供商之一 Waydev 的违规行为，恶意方最近获得了对 Dave 某些用户数据的未经授权的访问权，其中包括用户密码，这些密码是使用业界公认的 bcrypt 哈希形式存储的算法”。

“被盗信息还包括一些个人用户信息，包括姓名，电子邮件，生日，实际地址和电话号码。重要的是，这不会影响银行帐号，信用卡号，金融交易记录或未加密的社会保险号。”

尽管 Dave 声称没有证据表明盗窃导致了财务损失或未经授权的帐户访问，但现在都可以免费使用该工具了。

从技术上讲，可以对密码进行解密，然后将其用于其他帐户的凭据填充中，同时可以部署事件中暴露的个人信息，以使网络钓鱼攻击更具说服力。

Dave 表示，它正在通知所有受影响的客户，并且已对所有 Dave 客户密码进行了强制性重置。

本文由机器译制