एक हैकर, 10 करोड़ MobiKwik उपयोगकर्ता, 1 महीने से अधिक: सबसे बड़े केवाईसी डेटा उल्लंघन की समयरेखा

मोबिक्विक द्वारा आधिकारिक तौर पर एक महीने में दूसरी बार “सबसे बड़े केवाईसी डेटा उल्लंघन” की खबरों का खंडन करने के बाद छापे का मंच दावा किया कि उसने 10 करोड़ से अधिक के स्वैच्छिक डेटा बैकअप को हटा दिया है MobiKwik उपयोगकर्ता। यह हैकर के रूप में थोड़ा आश्चर्यजनक है – जो नाम से जाता है ” निंजा_स्टॉर्म“- MobiKwik के 8.2TB डेटा को 1.5 बिटकॉइन की कीमत पर बिक्री के लिए रखा था, जो 27 मार्च, 2021 को लगभग 65 लाख रुपये में बदल गया।
जबकि कथित डेटा उल्लंघन खुद MobiKwik के लिए एक जनसंपर्क था, जो यहाँ से संबंधित है, हैकर एक महीने से अधिक के लिए MobiKwik के 10 करोड़ उपयोगकर्ताओं के व्यक्तिगत डेटा तक पहुँच प्राप्त करता है। साइबर सिक्योरिटी रिसर्चर राजशेखर राजघरिया के मुताबिक, हैकर को 21 जनवरी, 2021 के आसपास डेटा का एक्सेस मिला था।
इस 8.2TB डेटा बैकअप के लिए कहा जाता है कि “ईमेल, फोन नंबर, पासवर्ड, पते, उपयोगकर्ताओं के फोन पर स्थापित अन्य ऐप, फोन निर्माता के नाम, आईपी पते, जीपीएस स्थान, 10 करोड़ उपयोगकर्ताओं के आदि। 10 करोड़ उपयोगकर्ताओं के बीच, डेटा बेस में 4 करोड़ उपयोगकर्ताओं के बैंक कार्ड विवरण और 30 लाख उपयोगकर्ताओं के व्यापारी केवाईसी डेटा थे। केवाईसी डेटा में हैकर के अनुसार “पासपोर्ट, आधार कार्ड, पैन कार्ड, सेल्फी, स्टोर पिक्चर प्रूफ आदि का उपयोग साइट पर ऋण प्राप्त करने के लिए किया जाता है।”
यह भी पढ़ें: MobiKwik ने डेटा ब्रीच से इनकार किया यहां तक ​​कि यूजर्स ट्विटर पर भी on सबूत ’साझा करते हैं
“सबसे बड़ा केवाईसी डेटा उल्लंघन” की घटनाओं की श्रृंखला
8 फरवरी, 2021: हैकर RAID फोरम में शामिल होता है। उनका नवीनतम नाम ” निंजा_स्टॉर्म”।

24 फरवरी, 2021: पहली बार, हैकर ने भारत के शीर्ष 3 वित्तीय सेवा कंपनी – 7 टीबी में से एक के “बिग डेटा लीक” विषय के साथ डेटा उल्लंघन के बारे में पोस्ट किया। वह “गंभीर खरीदारों” से जवाब मांग रहा था। हैकर ने कंपनी के नाम का खुलासा अभी तक नहीं किया है।
जब दर्शकों ने डेटा के सबूत की मांग की, तो हैकर ने कहा कि उसने चार लोगों को “प्रारंभिक प्रमाण” भेजा है। उन्होंने यह भी कहा, “कलह या टेलीग्राम या जैबर सेटअप करेगा और थ्रेड को अपडेट करेगा। हम डेटा को बेहतर / अधिक सुरक्षित सर्वरों पर ले जा रहे हैं rn 24 घंटे @ 60-100MBPS में किया जाएगा। ” उस दिन के बाद, डिस्कॉर्ड सर्वर बनाया गया और हैकर ने लोगों को डेटा डील पर चर्चा करने के लिए आमंत्रित किया।

25 फरवरी, 2021: हैकर ने रैड फ़ोरम पर एक संदेश पोस्ट किया जिसमें दावा किया गया था कि उसने डेटा को अन्य सर्वरों तक पहुँचाते समय अपने शुरुआती सर्वर तक पहुँच खो दी थी और उसके साथ कोई वास्तविक डेटा नहीं बचा था।

26 फरवरी, 2021:साइबर सुरक्षा शोधकर्ता राजशेखर राजाहरिया ने पहली बार इस डेटा लीक के बारे में ट्वीट किया। उनके ट्वीट में मोबिक्विक के लीक हुए डेटा का जिक्र या लिंक नहीं था।

27 फरवरी, 2021: राजाहरिया ने लीक डेटा को MobiKwik पर पिन किया। “हैकर ने कंपनी के नाम का उल्लेख नहीं किया है। हैकर ने जिस कंपनी का नाम उछाला है, उसके बारे में खुलासा नहीं किया, क्योंकि वह कुछ पैसा बनाना चाहता था। बाद में उन्होंने डिस्कोर्ड पर एक समूह बनाया और ब्रीच के सबूत के रूप में विवरण साझा करना शुरू कर दिया। अपने सैंपल डेटा के जरिए, मैंने अनुमान लगाया कि यह मोबिक्विक का है द टाइम्स ऑफ़ इंडिया – गैजेट्सनॉ।
4 मार्च, 2021: MobiKwik ने डेटा लीक से इनकार करते हुए अपना पहला आधिकारिक बयान जारी किया। दावा किया कि “मीडिया-तथाकथित तथाकथित सुरक्षा शोधकर्ता” ने मीडिया का ध्यान खींचने के लिए साइबर सुरक्षा के झूठे मामले की सूचना दी। कंपनी ने कहा था कि उनकी “कानूनी टीम इस तथाकथित शोधकर्ता के खिलाफ कड़ी कार्रवाई करेगी, जो उल्टे उद्देश्यों के लिए ब्रांड प्रतिष्ठा को खराब करने की कोशिश कर रहा है।”

6 मार्च, 2021: हैकर इस बात की पुष्टि करता है कि लीक किया गया डेटा मोबिक्विक का है और एक बार फिर “डेटा खो जाने” का दावा करता है।

27 मार्च, 2021: हैकर उसी खाते से RAID फोरम पर एक और संदेश पोस्ट करता है। उन्होंने दावा किया है कि उन्होंने सभी डेटा बरामद किए हैं और बताया कि यह 1.5 बीटीसी (या 65 लाख रुपये) में बिक्री के लिए था। एक महीने पहले, हैकर ने कहा कि उसने सभी डेटा को सुरक्षित सर्वर पर शिफ्ट करते समय खो दिया था।

यहाँ ध्यान देने योग्य बात यह है कि 27 मार्च 2021 को हैकर के पास जो डेटा था वह मोबिक्विक खातों तक पहुँचने के लिए पर्याप्त नहीं था। वही अन्य “इच्छुक पार्टियों” ने भी लीक को “बेकार” करार दिया। यह मुख्य रूप से है क्योंकि उपयोगकर्ताओं को मोबिक्विक पर लॉगिन और लेनदेन के लिए ओटीपी (एसएमएस के माध्यम से वितरित) सत्यापित करने की आवश्यकता है। इसलिए, सभी उपयोगकर्ता डेटा होने के बावजूद, हैकर चाहकर भी उपयोगकर्ता के खातों से पैसे नहीं चुरा सकता था।

29 मार्च, 2021: कई उपयोगकर्ताओं ने ऑनियन पोर्टल लिंक पर उनके विवरण को खोजने के बाद डेटा उल्लंघन के बारे में ट्विटर पर MobiKwik से सवाल किया। डेटाबेस के चारों ओर एक तरह का सर्च इंजन ऑनियन बनाया गया था, जो लोगों को ईमेल आईडी से खोजकर MobiKwik उपयोगकर्ताओं के व्यक्तिगत विवरणों को खोजने की अनुमति देता था। एक बार जब उन्हें एक मैच मिला, तो कुछ उपयोगकर्ताओं ने दावा किया कि डेटा सटीक था और वास्तव में MobiKwik से लिया गया था। इन उपयोगकर्ताओं में से कुछ ने व्यक्तिगत विवरणों के स्क्रीनशॉट साझा किए और ट्विटर पर पोस्ट किए।

29 मार्च, 2021: हैकर का दावा है कि उसने लोगों से विलोपन अनुरोध प्राप्त करने के बाद डेटाबेस से कुछ उपयोगकर्ताओं के विवरण हटा दिए हैं। उन्होंने सभी डेटा को केवल तभी हटाने की पेशकश की जब मोबिक्विक ने सार्वजनिक रूप से डेटा उल्लंघन को स्वीकार कर लिया। “ट्वीट मोबिक्विक और अगर वे सार्वजनिक रूप से सहमत होंगे तो मैं सभी साइट को नीचे ले जाऊंगा। वे हफ्तों से झूठ बोल रहे हैं।

30 मार्च, 2021, 5:13 AM: हैकर का दावा है कि उसने लीक हुए डेटा को नहीं बेचा है। MobiKwik डेटा ब्रीच की खबर लगभग सभी प्रमुख समाचार साइटों पर दिखाई देती है।

30 मार्च, दोपहर 3:30 बजे: MobiKwik ने ब्रीच से इनकार करते हुए एक और बयान जारी किया। कंपनी ने स्वीकार नहीं किया कि “डार्कवेब पर उपलब्ध डेटा मोबिक्विक या किसी भी पहचाने गए स्रोत से एक्सेस किया गया है।” इसमें आगे कहा गया, “… आरोपों की गंभीरता को देखते हुए, और प्रचुर सावधानी के साथ, इसे फोरेंसिक डेटा सुरक्षा ऑडिट करने के लिए एक तृतीय पक्ष मिलेगा।”

30 मार्च, शाम 6:35 बजे: हैकर ने RAID फोरम पर एक और संदेश पोस्ट किया जिसमें दावा किया गया कि उसने सभी डेटा हटा दिए हैं। उन्होंने कहा, ‘मैंने यह डिलीट खुद किया है और यहां कोई फाउल प्ले नहीं है। अब आपका सारा डेटा मोबिक्विक के पास सुरक्षित है और लक्षित विज्ञापनों या कॉल के लिए मोबिक्विक को छोड़कर कोई भी इसका दुरुपयोग नहीं कर सकता है, जो हर कोई वैसे भी करता है। हम सिर्फ एक कंपनी को खुद को गहराई से खोदकर खुद को दफनाना नहीं देखना चाहते हैं। लगता है कि हम सभी ने पिछले कुछ दिनों के दौरान कुछ उपयोगी जीवन सबक सीखे हैं। Adios, “उन्होंने एक लंबी पोस्ट में कहा।

अपने डेटा को छोड़ने के सही कारण का खुलासा किए बिना, हैकर का दावा है कि वह कंपनी को अपनी लिस्टिंग से आगे चोट नहीं पहुंचाना चाहता है। MobiKwik सितंबर 2021 से पहले एक आईपीओ को लक्षित कर रहा है और $ 200 मिलियन और $ 250 मिलियन के बीच जुटाने की उम्मीद करता है।
30 मार्च, 7:28 PM: हैकर का दावा है कि उसने अलग पोस्ट में स्वेच्छा से डेटा हटाने के लिए कोई पैसा नहीं लिया है।

आगे क्या होगा:
लीक हुए डेटाबेस में 10 करोड़ उपयोगकर्ताओं का व्यक्तिगत विवरण था और हैकर ने लगभग 65 लाख रुपये या 1.5 बिटकॉइन की मांग की थी। गणित लगभग 6 पैसे प्रति उपयोगकर्ता अनुवाद करता है। मोबिक्विक के उल्लंघन से इनकार करने के साथ, हमारे पास केवल हैकर का शब्द है कि डेटा वास्तव में हटा दिया गया है। इसके अलावा, हमारे पास विकल्प बहुत कम हैं लेकिन हैकर का मानना ​​है कि उसने पहले से ही किसी अन्य पार्टी को डेटा नहीं बेचा है। यह कहते हुए कि लीक हुआ डेटा पहले से ही टेलीग्राम समूहों के आसपास तैरने का दावा किया जाता है।
जबकि डेटा प्रत्यक्ष वित्तीय धोखाधड़ी में उपयोग का नहीं हो सकता है, इसका उपयोग प्रतिरूपण, धमकाने, लक्षित स्पैम और फ़िशिंग प्रयासों और अन्य प्रकार के ऑनलाइन अपराधों के लिए किया जा सकता है।

Related Posts

Leave a Reply

Your email address will not be published. Required fields are marked *