科技独角兽Dave承认其安全漏洞影响超750万用户

据外媒ZDNet报道，在一名黑客在一个公共论坛上公布了7516625名用户的信息后，数字银行应用程序科技独角兽Dave.com在周日证实了该安全漏洞。一位发言人表示:“由于Dave的前第三方服务提供商Waydev遭到入侵，一个恶意组织最近未经授权访问获得了Dave某些用户的数据。”

 

在发给ZDNet的一封电子邮件中，Dave表示，安全漏洞源自其前业务合作伙伴Waydev的网络，Waydev是工程团队使用的分析平台。该公司说，它已经堵住了黑客的入口，并且正在通知用户这一事件。Dave的应用程序密码被曝光后，也被重新设置。

 

Dave说：“当Dave得知此事后，公司立即展开调查，目前调查仍在进行中，并且正在与执法部门协调，包括与联邦调查局（FBI）一起调查恶意方声称已“破解”了其中一些密码，正在尝试出售Dave客户数据。”

 

该公司还请来网络安全公司CrowdStrike协助调查。

 

DAVE用户数据被发表在黑客论坛上

 

ZDNet是在7月25日凌晨（周六）获悉该安全漏洞的。一位读者向ZDNet透露，一名黑客正在RAID上提供Dave应用程序的用户数据。RAID是一个黑客论坛，以黑客泄露数据库的首选场所而闻名。

 

黑客以“闪猎者”（ShinyHunters）这个名字来自称，他们也曾入侵、泄露或出售过许多其他公司的数据，包括Mathway、Tokopedia、Wishbone等等。

 

Dave的数据目前是免费下载的——在论坛会员使用论坛积分解锁访问下载链接之后。

 

这些数据包括大量信息，如真实姓名、电话号码、电子邮件、出生日期和家庭住址以及社会安全号码，但Dave说这些细节是加密的——ZDNet在获得数据副本后确认了这一点。

 

 

密码也包括在内，但使用bcrypt进行哈希处理，该哈希函数可防止黑客查看明文形式的密码。Dave说，目前他们没有证据表明黑客使用这些数据访问用户帐户并执行任何未经授权的操作。

 

*本文出自SCA安全通信联盟，转载请注明出处。