作为一家金融科技公司,Dave允许用户关联个人银行账户,可以根据用户账单金额提前借款给客户,从而避免出现透支。用户只需要额外支付一定费用,便可获取最高100美元的贷款额度,但在还款前不能继续贷款。
上周五,一位攻击者在某黑客论坛上免费发布了包含7,516,691个Dave用户记录的数据库。
在我们就泄露事件与Dave取得联系后,Dave在第二天发表公告,表示公司出现数据库泄露事件。
Dave在昨晚回复BleepingComputer的一份声明中表示,数据库泄露的原因在于他们曾使用过的第三方数据服务提供商Waydev不久前遭受过黑客攻击。
“由于Waydev最近遭受过黑客攻击,因此攻击者获得了Dave部分客户数据的未授权访问权限,其中包括用户密码信息,这些密码经过bcrypt处理,以哈希形式存储(bcrypt是业内认可并采用的一种哈希算法)。”
“被窃取的信息中还包括客户的部分个人信息,如姓名、电子邮件地址、出生年月、家庭住址和手机号码。值得庆幸的是,这些信息并不涉及银行账号、信用卡号、交易记录,或者任何的明文密码。目前还没有证据表明此次事件波及到具体用户账户,也没有任何用户因此遭受财产损失。”
“事件发生以后,Dave立即展开紧急调查,并与执法部门(包括FBI)合作处理该事件。目前调查仍在进行中,我们密切关注到有攻击者声称已破解部分密码,并在尝试出售用户数据。此外,Dave安全团队已对系统采取了紧急加固,正全天候工作中,确保用户数据安全。Dave正在向所有用户告知此次事件,已强制重置所有用户的密码。Dave还聘请了高级网络安全顾问CrowdStrike,协助解决此次事件。”
目前我们并不知道Waydev被攻击的具体过程,但已经与对方取得联系。
根据我们已获取的样本,此次泄露的数据中包括姓名、电话、住址、出生年月、加密的社保号、电子邮件地址,以及经过Bcrypt哈希处理的密码。
虽然Dave已强制重置所有账户的密码,但如果用户曾在其他网站上使用过相同的密码,那么仍然存在安全风险。为了避免出现这种情况,我们强烈建议相关用户立即更改其他站点上的密码。
从拍卖到免费提供
虽然Dave基本上及时并且负责任地披露了此次数据泄露事件,但这个事情其实并没有那么简单。
在本月初,网络情报公司Cyble与BleepingComputer取得联系,称有攻击者正在黑客论坛上拍卖Dave数据库。当时Cyble已经向Dave提供了拍卖的相关信息,Dave表示该问题正在处理中。
图1.被拍卖的Dave数据(经BleepingComputer打码处理)
除了拍卖Dave数据外,这名攻击者还拍卖了Swvl.com以及Dunzo.com的数据库。2020年7月11日,Dunzo发表公告,称公司遭到数据泄露攻击。
图2.被拍卖的Dunzo数据(经BleepingComputer打码处理)
大约在2020年7月14日,黑客论坛上删除了拍卖Dave数据的帖子,据Cyble了解到的信息,该数据已私下售出,售价约为16,000美元。
2020年7月24日,名为ShinyHunter的泄露数据卖方在另一个黑客论坛上免费公布了整个数据库。
图3.在黑客论坛上被免费传播的Dave数据库
被泄露出来的Dave数据库中包含7,516,691条用户记录以及3,092,396个电子邮件地址。如前文所述,密码经过Bcrypt加密,此外数据库中还包含经过加密的社保号码。
ShinyHunter是非常知名的泄露数据卖方,过去曾销售、泄露过大量数据库,包括HomeChef、ChatBooks、Chronicle.com、Wattpad以及Tokopedia。
目前我们尚不清楚ShinyHunter为何会直接泄露该数据库,不采用售卖方式。考虑到数据库已被泄露,其他攻击者可能会破解密码哈希,在凭据碰撞攻击中使用这些用户。
这里必须再强调一遍,请大家及时修改密码,不要在其他网站上使用在Daveapp中使用过的相同密码。